【IT168 评论】】不知是看好网络安全市场一片向好的形势，还是由于企业组织对网络安全的重视。近段时间有关网络安全的好消息不断曝出，谁谁谁家又上市了，哪家安全厂商又获得了新轮融资，诸如此类消息可谓是比比皆是。

　　前不久微步在线以“迈向XDR”为主题召开融资暨产品发布会再次传来喜报，宣布完成E轮5亿人民币融资。之所以说“再次”，是因为本次融资距离微步在线的D轮3亿左右融资仅仅不到半年时间，仅仅半年时间，微步在线合计完成融资8亿元!

　　在半年前获得D轮融资时，微步在线就曾表示将进一步进行市场扩张和产品研发。而在宣布完成E轮融资的同时，微步在线的两款新品也正式和大家见面。分别是主机威胁检测响应产品OneEDR和威胁感知平台TDP的全新版本。

　　从OneEDR窥见“后浪”的进击

　　首先我们先来聊聊微步在线新推出的OneEDR产品。坦率讲，EDR产品在网络安全领域已经不是什么新名词，越来越多的安全厂商也不断推出自家的EDR产品。相比在EDR领域有着较早布局的厂商来讲，微步在线也只能算是EDR领域的“后浪”，而后浪能否将前浪成功拍在沙滩上，也未曾可知。

　　根据微步在线OneEDR业务负责人陈杰介绍，本次推出的OneEDR产品的入侵检测能力比较完善，具有业界领先水平，而这都得益于微步在线在威胁发现领域多年的技术积累。从整体架构来看，OneEDR 共由三部分组成，分别是采集系统、检测系统和分析系统：

　　●采集系统：主要负责主机日志信息和系统信息的采集、过滤和聚合，并上传相关数据到检测系统，同时支持接受相关配置的功能、支持端上木马检测功能。主要功能有数据采集、数据清理、终端检测、数据上传、应急响应、自动升级、性能监控等。

　　●检测系统：OneEDR 检测系统是基于大数据分析的实时入侵检测平台，集成了微步在线情报引擎，行为检测引擎和恶意文件检测引擎，同时支持微步在线云沙箱检测，全面且实时地检测入侵事件的完整攻击链路。

　　●分析系统：主要负责威胁事件的聚合、可视化展示分析以及日志调查溯源，提供面向企业安全运维人员的分析视角，提高分析溯源效率。同时提供配置接受服务，用户可在Web 页面进行相关配置，将配置命令下发到服务器端。

　　而通过对产品的了解，我们对OneEDR的几点优势进行了简单总结：

　　优势一，检测能力强：基于微步在线专业威胁情报、启发式的漏洞、木马行为特征检测、文件静态和动态监测、基于AI的终端行为数据异常分析模型等机制，微步在线OneEDR全面检测Webshell、反弹Shell、木马后门、主机提权、僵尸网络、挖矿威胁、勒索病毒、虚假内核、远控工具、恶意环境变量、漏洞利用、恶意进程、账号爆破等多种几十种威胁类型，全面检测已知和未知的攻击和威胁。同时，OneEDR能够将所有单点检测告警进行关联，生成攻击事件，并对一次攻击事件进行全链路取证，明确黑客攻击链路方才告警，做到极少误报。

　　优势二，可视化效果好：OneEDR能够以可视化的方式清晰展现安全事件的来龙去脉，帮助分析人员快速掌握当前攻击状态与手法。

　　优势三，占用户资源少：OneEDR对用户Agent CPU消耗控制在1%以下，内存消耗控制在70MB，同时在终端上应用数据过滤和压缩技术，可控制采集数据量平均在每天10M左右，对CPU性能和网络带宽的影响极小。

　　端点+流量，开启攻防全面对抗时代

　　本次发布会除了对OneEDR新品的发布外，也对原有TDP产品进行了全面升级。TDP全称Threat Detection Platform，是微步在线推出的网络流量检测与响应产品。其主要是基于情报驱动的威胁感知内核与紧贴甲方视角的风险分析模块对双向全流量进行深度分析，能够全面发现网络威胁，实时判定成功攻击，精准定位失陷主机，并提供基于终端和流量的处置闭环能力。同时，通过非侵入方式梳理资产与服务，识别潜在风险暴露面。对安全团队掌控全网态势，发掘隐藏风险，聚焦真实威胁，加强联动能力，提升运营效率等方面提供有力支撑。

　　本次升级完成后，基于流量做检测响应的TDP将能够实现与OneEDR的内核级结合，不仅能让安全运维人员“看到”终端和流量中的网络威胁，还能够把终端和流量中获得的威胁信息统一管理、分析，聚合出安全事件的完整攻击链。形成“端点+流量”的检测响应模式。

　　目标XDR 再迈一大步

　　说完产品，我们不妨回归下本次活动的主题——“迈向XDR”，XDR很多朋友都知道，Extended Detection and Response，是近两年网络安全领域较为火热的方向之一。Gartner将XDR描述为安全威胁检测和事件响应SaaS工具，可以从终端、流量、蜜罐、网关等处发现网络威胁，并与云端威胁情报、签名、规则库、特征库等数据进行联动比对，通过机器学习等技术，过滤数据噪声，减少误报和漏报，将告警自动聚合为完整安全事件，并实现一键处置。而本次微步在线所推出的终端检测响应产品OneEDR称得上是微步在线迈向XDR的一大步。

　　而不为人知的是，仅仅一个“迈”字，微步在线内部还吵过几架，而最终微步在线认为OneEDR产品仅仅是未来实现XDR的一大步，综合来讲，微步在线目前仍未达到XDR所需的标准。本着做产品不炒概念，为用户负责，最终选择“迈向XDR”，原因很简单，你可以叫迈向XDR，但你不能说你是XDR。由此也不难看出微步在线严谨负责的态度。

　　微步在线技术合伙人赵林林坦言，微步在线一直在逐步的探索，希望稳扎稳打一步步的解决问题，目前微步在线做了是最难的两个点——端和流量的结合，未来微步在线可能会实现端、流量和云的结合，来实现完整的XDR闭环。正如他所讲的那般：“我们想把事情做好，做扎实，一步一步的走，我们不想去炒概念，我们要为客户提供真实的价值，帮客户解决真实问题。”