优艾设计网

微步在线OneEDR新品探秘:迈向XDR的一大步?

优艾设计网 https://www.uibq.com 2023-01-26 12:20 出处:网络 作者:电脑技术
2021年3月17日,中国下一代网络安全公司代表、中国威胁信息领导企业微步在线召开了以XDR为主题的融资和产品发表会。微步骤在线终端检测响应产品OneEDR首次登场。

2021年3月17日,中国下一代网络安全公司代表、中国威胁信息领导企业微步在线召开了以XDR为主题的融资和产品发表会。微步骤在线终端检测响应产品OneEDR首次登场。

XDR(Extended Detection and Response)是近两年内全球网络安全公司竞相探索、尝试的方向。通过Gartner《Inovation》InsightforExtendedDetectionAndresponse》中,XDR被描述为安全威胁检测和事件应对SaaS工具,可以从终端、流量、蜜罐、网关等发现网络威胁,与云威胁信息、签名、规则库、特征库等数据进行联动比较,通过机器学习等技术,过滤数据噪音,优艾设计网_平面设计减少误报和泄漏,将警报自动聚合成完整的安全事件,实现一键处置。一般来说,XDR所需的安全产品包括EDR、NTA/NDR、UBA、蜜罐等,一些安全制造商也将SIEM和SOAR包括在XDR的范围内。本次微步骤在线发布终端检测响应产品OneEDR,是微步骤在线迈向XDR的一大步骤。

OneEDR有什么功能?

EDR产品在国内发展至少5年,已成为各大安全制造商和新兴安全公司持续发展的方向。深信不疑,天融信、奇安信等大型综合类安全厂家纷纷增开EDR产品线,安全狗、青藤云安全、杰思安全等互联网安全创业公司也选择从EDR和CWPP入手。作为EDR领域的后起之秀,微步骤在线的OneEDR现在具有什么功能?

OneEDR的产品负责人在发布会现场介绍说,得益于微步在线在威胁发现领域多年的技术积累,OneEDR的入侵检测能力已经比较完善,具有业界领先水平。其创新的入侵链路可视化技术更是提供了无与伦比的威胁溯源能力,结合一键处置,能够做到快速响应。同时,OneEDR还配备了微步在线的网络威胁信息模块,自适应的机器学习能力,支持日志调查定制搜索,多视角可视化跟踪主机入侵过程,自动化聚合攻击事件完整链接。

目前,OneEDR可全面检测Webshell、反弹Shell、木马后门、主机提权、僵尸网络、开采威胁、威胁病毒、虚假核心、远程控制工具、恶意环境变量、脆弱利用、恶意进程、账户爆炸等数十种威胁类型,全面检测已知和未知的攻击和威胁同时,可以将安全运营者的处理记录作为反馈信息,利用机器学习算法继续优化,适应更新检查算法,建立专用于该企业的检查引擎系统,加强企业的检查能力。

值得一提的是,OneEDR和微步骤在线的流量检测响应产品TDP具备深度结合的能力,不仅可以让安全运输人员看到终端和流量中的网络威胁,还可以统一管理和分析终端和流量中获得的威胁信息,收集安全事件的完整攻击链。

  相较市面产品,OneEDR具备哪些优势?

据产品负责人介绍,OneEDR的优势体现在检测能力强、可视化效果好、占用户资源少等三个方面。

OneEDR具有全面的检测能力。基于微步骤在线专业威胁信息、启发性漏洞、木马行为特征检测、文件静态和动态监测、基于AI的终端行为数据异常分析模型等机制,微步骤在线OneEDR全面检测Webshell、反弹Shell、木马后门、主机、僵尸网络、开采威胁、威胁病毒、虚假核心、远程控制工具、恶意环境变量、漏洞利用、恶意进程、账户爆炸等多种威胁类型,全面检测已知和未知的攻击和威胁与此同时,OneEDR可以关联所有单点检测警报,生成攻击事件,对一次攻击事件进行全链学调查,明确黑客攻击链路方面警报,极少误报。

OneEDR可以通过可视化的方式现安全事件的经过,帮助分析者迅速掌握当前的攻击状态和手法。首先,OneEDR能够智能挖掘告警之间的关联关系,自动聚合多条告警,以威胁事件为维度显示整体攻击的上下文,对同一团伙的告警进行是识别和分类,帮助安全运维人员在大量告警中更高效地理清安全事件的脉络,更有针对性地去处理安全事件。其次,在处理安全事件的过程中,OneEDR提供事件图和过程链图,实现安全事件的可视化,整理安全事件的经过,直观展示与安全事件相关的用户、主机、过程、IP等实体的关系,同时按照ATTamp

另外,OneEDR不断收集用户的处反馈,学习误报警特点,不断优化机器学习算法,使其具备针对单一用户环境的自适应性,进一步降低误报。在企业上云战略和黑客专业化的大环境下, 主机安全已成为一个强对抗的领域。OneEDR产品负责人陈杰表示,对进攻行为的全链接监控,结合机器学习的动态建模能力,是应对强烈对抗的有效解决方案。

在实现上述功能和优势的同时,OneEDR占用户网络和软硬资源极小。OneEDR对用户Agent,CPU耗电量控制在1%以下,内存耗电量控制在70MB,同时在终端应用数据过滤和压缩技术,可控制采集数据量平均每天10M左右,对CPU性能和网络带宽的影响极小。

目前,OneEDR可以准确发现入侵,威胁事件检测率高达99%,信息引擎精度高达99.9%,事件聚合精度高达90%以上。

OneEDR的发表,向XDR迈出了大步

微步在线创始人、CEO雪锋多次在公开演讲中指出,网络安全云化是必然的趋势,网络安全供应商必须将自己的安全能力和产品云化微步骤在线希望实现全面、正确的威胁检查,实现云端点流量场景的全面垄断,因此微步骤在线流量检查产品ThreatDetectionPlatform(TDP)在业界得到广泛认可和使用后,推出端点威胁检查和应对产品

作为长期、持续专注于威胁情报领域的网络安全公司,微步在线数年来一直在将威胁情报能力产品化,覆盖多个网络安全实战场景,如端点检测、流量检测、DNS防护、本地威胁情报管理、威胁情报批量查询等。OneEDR将成为微步在线网络安全云图纸的重要组成部分,也将成为微步在线构建全方位威胁检测产品系统的支柱产品。

0

精彩评论

暂无评论...
验证码 换一张
取 消