20213月17日,中国新一代 *** 安全公司代表、中国威胁情报龙头企业微步在线举行主题“迈向XDR”融资及产品发布会。微步在线终端检测响应产品OneEDR会上首次亮相。
XDR(Extended Detection and Response)这是全球 *** 安全公司在过去两年中竞相探索和尝试的方向。Gartner《Innovation Insight for Extended Detection and Response》中,XDR被描述为安全威胁检测和事件响应SaaS该工具可以从终端、流量、蜂蜜罐、网关等处发现 *** 威胁,并与云威胁信息、签名、规则库、特征库等数据进行联动比较。通过机器学习技术过滤数据噪声,减少误报和漏报,自动将报警聚合成完整的安全事件,实现一键处理。一般来说,XDR需要包括的安全产品有EDR、NTA/NDR、UBA、一些安全制造商会把蜜罐等等SIEM和SOAR也囊括在XDR范围内。微步在线推出终端检测响应产品OneEDR,微步在线迈向XDR的一大步。
OneEDR什么功能?
EDR经过中国至少五年的发展,产品已成为主要安全制造商和新兴安全公司不断努力的方向。深信、天融信、奇安信等大型综合安全制造商纷纷增加EDR产品线、安全狗、青藤云安全、杰思安全等 *** 安全初创公司也选择从EDR和CWPP起步。做为EDR领域后起之秀,微步在线OneEDR目前有哪些功能?
OneEDR由于微步在线威胁发现领域多年的技术积累,产品负责人在新闻发布会上表示,OneEDR入侵检测能力相对完善,具有行业领先水平。其创新的入侵链路可视化技术提供了无与伦比的威胁可追溯性,结合一键处理可以实现快速响应。OneEDR它还配备了微步在线 *** 威胁情报模块、自适应机器学习能力、支持日志调查定制检索、多视角可视化跟踪主机入侵过程,以及自动聚合攻击事件的完整链接。
目前OneEDR全面检测Webshell、反弹Shell、木马后门、主机提升、僵尸 *** 、采矿威胁、勒索病毒、虚假核心、远程控制工具、恶意环境变量、漏洞利用、恶意过程、账户爆炸等几十种威胁类型,全面检测已知和未知的攻击和威胁。同时,安全操作人员的处置记录可以作为反馈信息,利用机器学习算法不断优化和自适应更新检测算法,建立独家企业的检测引擎系统,有针对性地提高企业的检测能力。
值得一提的是,OneEDR微步在线流量检测响应产品TDP具有深度结合的能力,不仅可以让安全运维人员“看到”终端和流量中的 *** 威胁也可以统一管理和分析终端和流量中获得的威胁信息,聚合安全事件的完整攻击链。
与市场产品相比,OneEDR有哪些优势?
根据产品负责人的介绍,OneEDR其优点体现在检测能力强、视觉效果好、用户资源少三个方面。
OneEDR具有全面的检测能力。基于微步在线专业威胁情报、启发漏洞、木马行为特征检测、静态文件和动态监控,AI终端行为数据异常分析模型等机制OneEDR全面检测Webshell、反弹Shell、木马后门、主机、僵尸 *** 、采矿威胁、勒索病毒、虚假核心、远程控制工具、恶意环境变量、漏洞利用、恶意过程、账户爆炸等几十种威胁类型,全面检测已知和未知的攻击和威胁。OneEDR它可以关联所有单点检测报警,生成攻击事件,并收集一次攻击事件的全链接证据。只有明确黑客攻击链路,才能报警,误报很少。
OneEDR能够清晰地展示安全事件的来龙去脉,帮助分析师快速掌握当前的攻击状态和技术。OneEDR能智能挖掘报警关系,自动聚合多个报警,以便“威胁事件”为了显示整体攻击的上下文,识别和分类同一团伙的报警,帮助安全运维人员更有效地理清大量报警中安全事件的背景,更有针对性地处理安全事件。其次,在处理安全事件的过程中,OneEDR提供“事件图”和“进程链图”,实现安全事件的可视化,明确安全事件的来龙去脉,直观展示用户、主机、过程、IP等待实体的关联关系,同时根据实体的关联关系,根据每个报警和事件ATT&CK映射模型。
此外,OneEDR不断收集用户的处理反馈,学习错误报警特征,不断优化机器学习算法,使其对单一用户环境具有自适应性,进一步减少错误报告。“在企业云战略和黑客专业化的环境下,主机安全已成为一个强大的对抗领域。”OneEDR产品负责人陈杰说,“对攻击行为的全链路监控,结合机器学习的动态建模能力是应对强对抗的有效解决方案。”
在实现上述功能和优势的同时,OneEDR用户 *** 和软硬件资源很小。OneEDR对用户Agent CPU内存消耗控制在1%以下70MB,数据过滤和压缩技术同时应用于终端,可以控制每天收集的平均数据量10M左右,对CPU性能和 *** 带宽的影响极小。
目前,OneEDR能准确发现入侵,威胁事件检出率高达99%,情报引擎准确率高达99%99.9%,事件聚合准确率达到90%以上。
OneEDR发布,走向XDR的一大步
微步在线创始人CEO薛峰在一次公开演讲中多次指出, *** 安全云是一种不可避免的趋势, *** 安全供应商应完成自己的安全能力和产品云,然后赋予客户权力。微步在线希望实现全面、准确的威胁检测“端点 云 流量”场景的全面覆盖,因此,微步在线流量检测产品Threat Detection Platform(TDP)在被业界广泛认可和使用后,推出终端威胁检测和响应产品是微步在线必备的一步棋。
作为长期、持续专注于威胁情报领域的 *** 安全公司,微步在线数年来一直在将威胁情报能力产品化,覆盖多个 *** 安全实战场景,如端点检测、流量检测、DNS保护、地方威胁情报管理、威胁情报批量查询等。OneEDR它将成为微步在线 *** 安全云地图的重要组成部分,也将是微步在线构建全方位威胁检测产品系统的支柱产品。