天之家IT资讯平台

　　2021年3月17日，中国新一代网络安详公司代表、中国威胁情报领军企业微步在线召开了主题为“迈向XDR”的融资暨产物宣布会。微步在线的终端检测响应产物OneEDR在会上首度表态。

　　XDR(Extended Detection and Response)是近两年内全球网络安详公司竞相摸索、实验的偏向。在Gartner《Innovation Insight for Extended Detection and Response》中，XDR被描写为安详威胁检测和事件响应SaaS东西，可以从终端、流量、蜜罐、网关等处发明网络威胁，并与云端威胁情报、签名、法则库、特征库等数据举办联动比对，通过呆板进修等技能，过滤数据噪声，淘汰误报和漏报，将告警自动聚合为完整安详事件，并实现一键处理。一般环境下，XDR需要包罗的安详产物有EDR、NTA/NDR、UBA、蜜罐等，某些安详厂商会把SIEM和SOAR也席卷在XDR的范畴内。本次微步在线推出终端检测响应产物OneEDR，是微步在线迈向XDR的一大步。

　　OneEDR有哪些成果?

　　EDR产物在海内颠末尾至少五年成长，已经成为各大安详厂商和新兴安详公司一连发力的偏向。深信服、天融信、奇安信等大型综合类安详厂商纷纷增开EDR产物线，安详狗、青藤云安详、杰思安详等网络安详创业公司也选择从EDR和CWPP起步。做为EDR规模的后起之秀，微步在线的OneEDR今朝具备了哪些成果?

　　OneEDR的产物认真人在宣布会现场先容说，得益于微步在线在威胁发明规模多年的技能积聚，OneEDR的入侵检测本领已经较量完善，具有业界领先程度。其创新的入侵链路可视化技能更是提供了无与伦比的威胁溯源本领，团结一键处理，可以或许做到快速响应。同时，OneEDR也搭载了微步在线的网络威胁情报模块、具备自适应的呆板进修本领、支持日志观测自界说检索、多视角可视化跟踪主机入侵进程，而且自动化聚合进攻事件完整链路。

　　今朝OneEDR可以或许全面检测Webshell、反弹Shell、木马后门、主机提权、僵尸网络、挖矿威胁、打单病毒、虚假内核、远控东西、恶意情况变量、裂痕操作、恶意历程、账号爆破等多种几十种威胁范例，全面检测已知和未知的进攻和威胁。同时能将安详运营人员的处理记录作为反馈信息，操作呆板进修算法一连优化、自适应更新检测算法，打造专属该企业的检测引擎系统，有针对性地增强企业检测本领。

　　值得一提的是，OneEDR和微步在线的流量检测响应产物TDP具备深度团结的本领，不只能让安详运维人员“看到”终端和流量中的网络威胁，还可以或许把终端和流量中得到的威胁信息统一打点、阐明，聚合出安详事件的完整进攻链。

　　相较市面产物，OneEDR具备哪些优势?

　　按照产物认真人的先容，OneEDR的优势浮现为检测本领强、可视化结果好、占用户资源少等三个方面。

　　OneEDR具备全面的检测本领。基于微步在线专业威胁情报、开导式的裂痕、木马行为特征检测、文件静态和动态监测、基于AI的终端行为数据异常阐明模子等机制，微步在线OneEDR全面检测Webshell、反弹Shell、木马后门、主机提权、僵尸网络、挖矿威胁、打单病毒、虚假内核、远控东西、恶意情况变量、裂痕操作、恶意历程、账号爆破等多种几十种威胁范例，全面检测已知和未知的进攻和威胁。同时，OneEDR可以或许将所有单点检测告警举办关联，生成进攻事件，并对一次进攻事件举办全链路取证，明晰黑客进攻链路刚刚告警，做到少少误报。

　　OneEDR可以或许以可视化的方法清晰揭示安详事件的来龙去脉，辅佐阐明人员快速把握当前进攻状态与手法。首先，OneEDR可以或许智能挖掘告警之间的关联干系，自动聚合多条告警，以“威胁事件”为维度显示整体进攻的上下文，对同一团伙的告警举办是识别和分类，辅佐安详运维人员在大量告警中更高效地理清安详事件的脉络，更有针对性地去处理惩罚安详事件。其次，在处理惩罚安详事件的进程中，OneEDR提供“事件图”和“历程链图”，实现对安详事件的可视化，理清安详事件的来龙去脉，直观展示安详事件涉及的用户、主机、历程、IP等实体的关联干系，同时将每个告警和事件凭据ATT&CK模子举办映射。

　　另外，OneEDR不绝收集用户的处理反馈，进修误陈诉警特征，不绝优化呆板进修算法，使其具备针对单一用户情况的自适应性，进一步低落误报。“在企业上云计谋和黑客专业化的大情况下, 主机安详已成为一个强反抗的规模。”OneEDR产物认真人陈杰暗示，“对进攻行为的全链路监控，团结呆板进修的动态建模本领是应对强反抗的有效办理方案。”