近日，微步在线式发布主机威胁检测响应产品OneEDR，微步在线旗下基于网络流量检测的威胁感知平台TDP、互联网安全接入服务OneDNS、本地多源威胁情报管理平台TIP等共同构成微步在线的“云+流量+端点”威胁检测响应产品矩阵。

OneEDR：全面、精准的检测能力，自动追溯攻击链

近年来，网络规模不断扩大，业务服务部署模式日益复杂，传统 IDC机房、私有云、公有云通常在一个企业中以混合结构出现。且云架构带来的多层的工作负载环境产生了数以万计的服务器，伴随而来的问题便是保障服务器主机安全的难度增大。

 微步在线OneEDR业务负责人陈杰

陈杰认为：“主机安全是业务安全的最后一道屏障，如果主机安全被攻破了，我们的业务就可能面临中断的风险，甚至丢失数据的风险，这是非常大的成本。”

虽然市场上已有多款主机安全产品，但大量政企客户反馈，大多数产品在全面入侵检测方面并未达到满意水平。

目前市场上有偏资产识别类的主机安全产品，侧重点在资产清单和漏洞扫描;有偏云主机管理类的主机安全产品，侧重点在公有云主机资产管理和常见木马的检测;有偏防护类的主机安全产品，侧重点在主机恶意软件查杀上。而在针对服务器的入侵检测方面，当前产品都存在较大的短板和不足。因为当前黑客入侵主机方法复杂多样，新型的攻击手法、工具层出不穷，而传统产品集中在漏洞发现、资产清点和病毒查杀上，难以在入侵的第一时间检测到威胁。

结合以上现状和难题，微步在线发布了OneEDR，这是一款专注于入侵发现、自动化分析溯源的主机安全产品。

得益于微步在线多年来在网络威胁情报，网络入侵检测能力，以及海量木马和恶意脚本分析上的积累，OneEDR具有全面的入侵检测能力，同时凭借其业界领先的威胁情报，可以做到误报率低于0.1%。并将发现的威胁告警自动化聚合为事件视角，帮助用户理清一个完整的入侵事件，掌握攻击者的攻击路径，高效溯源指导快速地响应。

在态势感知、威胁检测的建设大潮中，威胁情报成为必不可少的技术支撑，威胁情报有助于提高安全检测产品的检测效率，并降低产品的漏报率和误报率。以威胁情报订阅为基础的入侵检测设备已成为企业标配。OneEDR集成了行业领先的微步在线威胁情报检测引擎，让全球最新的威胁情报数据和微步在线专业的威胁分析能力触手可及。

陈杰表示OneEDR的加入，是对整个威胁检测响应阵容的补充，可以从多个维度发现威胁，形成一个产品矩阵最大程度的发现安全威胁。

TDP：0.05% 的超低误报率，聚焦真实威胁

TDP是基于流量分析与情报驱动的网络威胁检测与响应平台，支持全流量全协议的双向检测，能够准确识别威胁。

 微步在线技术合伙人&TDP产品负责人赵林林

赵林林提到了安全运营人员最大的痛点，他说：“安全运营人员最大的痛点就是无效报警太多了， BAT的大型企业一天的报警量是千万级的。而这些庞大的报警量只有一、两个人来处理。最后大家只能象征性的选取十几条看一下，所以能够准确报警尤为重要”。

TDP解决了这一痛点，它可以配合特征、深度学习模型等检测方式，能够自动化判断攻击成功，包括漏洞利用和主机失陷等多种场景下的成功失败判定。

TDP通过流量被动监听识别企业资产，全面梳理企业自身的IP、域名、服务、端口、应用等; 同时，TDP对企业开放管理后台、弱口令、API、敏感信息泄露、文件传输等情况也进行了记录和梳理。最大维度的展示企业的攻击面，帮助运营团队合理管控。

TDP使用了端+流量的检测方法，让检测增加了丰富数据纬度，同时拥有了从攻击开始到落 盘全过程的追溯能力。在响应方面，TDP可以利用流量进行自动化阻断，利用端做恶意进程、模块的自动化定位，清理流行恶意软件。

TDP同时接入生产网双向镜像流量和办公网核心流量镜像，可对企业全网威胁进行全面检测，对企业资产风险点和攻击面进行全面梳理，帮助安全运营人员全面掌握企业网络安全态势，做出有效响应。

办公网方面，TDP可检测办公网主机横向渗透和失陷破坏行为，精准发现感染僵木蠕、勒索等恶意程序的主机。检测恶意文件传输、数据窃取、 内网横向渗透等威胁行为。

生产网方面，TDP可有效检出针对生产网的外部攻击行为，从海量告警中筛选出针对性攻击与攻击成功事件，并通过规则有效关联完整攻击事件全过程。

TDP能够在重保攻防演练中发挥巨大价值，其紧贴实战视角的产品功能构架，能够全面覆盖攻防演练中各个关键关节，是防守方 “少失分，多得分”的利器。

网络安全威胁环境日益复杂多变，全面精准并且有前瞻性的安全预测才能抵御网络安全风险。

正如微步在线创始人兼CEO薛锋所说：“为应对未知的网络安全威胁，微步在线正在迈向“XDR”，“XDR”代表了一种检测技术的大融合，因为在任何一个单点上，看到的东西都是不全面的，有失偏颇的。所以“XDR”的“X”代表了拓展，它能把很多不同方向东西汇集在一起进行全面检测。这个是未来的大的方向。”

微步在线从过去五年快速的发展，已经从最初的情报专家变成了具有完整产品链的威胁发现专家。微步在线这次发布的“云+流量+端点”威胁检测响应产品矩阵，使其在检测维度上有很大的进步，是微步在线迈向XDR走的一大步。