OneEDR 产品介绍

全⾯、精准、易溯源的主机⼊侵检测与响应平台

微步在线

THREAT DETECTION AND RESPONSE EXPERT

 01 背景需求

02 产品定位

⽬ 录 03 核⼼功能
CONTENTS

04 价值优势

05 应⽤部署
01 背景与需求
从市场状况、技术趋势、安全现状、需求等⽅⾯阐述产品的产⽣原因
主机安全是企业安全的最后屏障
n 新的技术趋势下主机威胁检测愈发重要

• ⽹络信息化的发展驱动了业务服务的安全建设

业务系统的重要性 • 业务系统的安全问题会直接影响业务的正常运⾏、隐私信息的泄露、
⽤户服务体验等
• 业务服务器汇聚了企业⾼价值数据，容易成为⿊客攻击的重点⽬标

• 传统⽹络边界防护受到挑战
• 数据中⼼、私有云、公有云、移动办公的混合结构出现，⽹络
补充传统⽹络防御
边界结构越来越复杂，攻击⾯持续扩展
• ⽹络上的伪装、绕过和加密技术导致⽹络检测难度增⼤

• 终端上⽆论是以⽂件或者是⾏为的⽅式都难以完全隐藏
主机是最后的防御屏障 • 最终的处置定位也需要在终端上完成
• 终端的清理才能真正的实现闭环，⽽不是⽹络阻断
当前主机安全痛点

抓不到 告警多 溯源难

• APT、⿊灰产等组织持续活跃 • 终端产品告警激增，误报较多 • 告警、原始数据、情报割裂难以进⾏内部关联

与溯源分析
• 远控⽊⻢、勒索病毒、定制化恶意样本，结 • 各类告警数据上下⽂缺乏且相互割裂
合社⼯，攻击⼿段多样化 • 缺少情报数据⽀撑，难以实现“知⼰知彼”
• 告警疲劳分散精⼒、拉低效率、拖垮安全团队
• 0day、Nday、未知威胁、恶意⼯具服务化 • ⾏为数据记录缺失，只能看到报警，⽽⽆法回
• 基于签名特征检测技术，告警数量⼤、内容抽
溯前序的⾏为，跟踪后续的动作
• 威胁态势复杂化、隐蔽化、针对化、专业化 象，难以分辨真实威胁
• 策略编排与⾃动化阻断落地难
• 40%的攻击转为⽆⽂件攻击，传统基于⽂件
查杀的检测⽅法失效
02 产品定位
阐述产品在威胁情报、检测、分析、响应⽅⾯的理念
产品定位

现象 本质 主机安全的要点 OneEDR定位

检测细粒度不够
有漏报
攻击抓不到

检测不够精准 ⼊侵检测与溯源响应
误报多 专注于主机
安全告警多 ⼊侵检测与溯源响应
新型终端安全防护平台

⽇志记录不精细
缺乏关联
⽆法做溯源
03 核⼼功能
OneEDR的四⼤核⼼能⼒：⼊侵检测、溯源响应、事件聚合、XDR联动
产品能⼒

资产清点 ⼊侵检测
• Agent全量资产采集，服务端统⼀管理运维 • 12款引擎单点检测
• 快速灵活资产检索，提升资产运维效率 • ATT&CK攻击场景覆盖80%
• 基础资产、资产变更、Web资产、服务资产 • 终端+服务端+云端的三级检测机制
• 云沙箱和云查杀实时赋能
• 精准情报追踪流⾏威胁+新型攻击⼿法
ü XDR联动

溯源响应
• “进程链图”：单条告警，深⼊展示攻击链路的
始末，帮助精准溯源 事件聚合
• “全量⽇志溯源”：丰富的系统运⾏⽇志，⽀持 • 国内⾸家主机侧事件聚合技术
灵活检索和⾃定义安全狩猎 • ⾼精度情报引擎+规则引擎
• 多种响应处置动作，协助安全闭环 • 威胁图技术聚合安全事件信息

对业务零影响 CPU平均消耗0.5% 内存平均消耗40MB

产品架构
n OneEDR是⼀款专注于主机⼊侵检测与响应的新型终端安全防护平台

终端采集 服务端检测与溯源 云端协同

增值能⼒
轻量Agent 全⾯检测 精准告警 可视化溯源
云端检测

采集 Webshell检测 ⾏为规则引擎 ⽊⻢检测引擎 情报引擎 图溯源

25款AV
云查杀

终端检测 异常检测引擎 第三⽅AV 配置⻛险检测 事件聚合 全量⽇志

云沙箱

响应 蜜罐 系统完整性检测 XDR联动 机器学习+UEBA 远程响应

产品架构
资产清点

基础资产 资产变更 软件应⽤ Web资产 服务资产 访问拓扑（规划中）

• 硬件信息（cpu、⽹卡、 • 账号变更 • 系统安装包 • Web中间件 • 数据库 • 免密登录拓扑

磁盘、usb硬件） • 计划任务修改 • jar包 • Web框架 • ⽂件服务 • 内⽹登录拓扑
• 运⾏信息 • 启动项修改 • so库 • 邮件服务 • 内⽹通信拓扑
• Web应⽤
• 账号 • 环境变量修改 • 内核模块 • 远程登录服务
• Web站点
• 启动项 • 防⽕墙修改 • 应⽤清单 • 认证服务
• 计划任务 • 新usb硬件 • VPN服务
• 环境变量 • 运维服务
• 防⽕墙配置
• 端⼝服务
资产清点
⻛险发现

弱密码 漏洞⻛险 端⼝开放⻛险 应⽤⻛险 系统⻛险 账号⻛险

• Redis数据库 • CVE • Redis端⼝对外开 • Redis以root权限 • 服务器没有禁 • Sudo免密配置

• SSH系统⼯具 • CNVD 放 运⾏ ⽤ping • 异常root权限⽤
• MySql数据库 • CNNVD • Influxdb web控制 • Log4j远程代码执 • ⽹卡处于混杂 户
• 查看已修复密码 • 微步漏洞库 台对外开放 ⾏漏洞 模式 • 存在失效账号

• Influxdb http • Httpd配置⾃动加 • 存在永不过期可

登录的⾮root账
api端⼝对外开放 载
号
• Memcached • Httpd未开启域名
• Mongod http 访问
rest接⼝对外开放 • Httpd暴露cgj⽂件
• MySql对外开放 • Httpd基础认证存
在弱密码账户
⻛险发现
⼊侵检测 – 检测架构

单点检测 威胁图展示
全⾯检测

云端检测 事件聚合
云查+云沙箱 精准告警

事件聚合
服务端检测
终端采集 威胁图引擎
⽇志+⽂件 情报+7款引擎

终端检测
情报检测+⽊⻢

检测架构
1.终端+服务端+云端；轻终端，重服务端
2.采⽤“单点检测”+“事件聚合”的两级检测机制，“单点检测”保证全⾯性，“事件聚合”+情报保证准确性和易溯源
3.服务端采⽤⼤数据架构，集成多款检测引擎、AV、云沙箱、机器学习等组件，⽀持最新检测技术落地
⼊侵检测

如何做到全⾯检测? 如何做到精准告警?

多引擎检测 ⾼可信的检测引擎

多场景布局 国内⾸创的主机事件聚合技术

流⾏威胁检测覆盖（失陷外连、恶意⾏为、Webshell、
病毒、挖矿、勒索）

新型威胁检测覆盖（内存⻢、容器）
⼊侵检测 – 全⾯检测
n 多引擎检测 ：Agent引擎+服务端引擎+云端引擎=12款

Agent端 服务端 云端

单点检测引擎 威胁情报引擎 单点检测引擎 事件聚合引擎 单点检测引擎

1.终端⽊⻢引擎：全⾯ 1.微步在线情报引擎： 1.⾏为规则引擎：200+种 1.威胁图引擎：智能事件聚 1.云查引擎：云端25款AV

覆盖已知⽊⻢ 百万条超精准失陷指标 已知攻击场景 合、事件打分、事件可视 引擎
化，关联攻击步骤
2.异常⾏为引擎：覆盖登录、 2.云沙箱引擎：集成微步
2.终端Webshell引擎： 2.⾼效的云端情报⽣成 2.产品联动：联动TDP形
进程、⽹络等异常⾏为 在线云沙箱
全⾯覆盖已知 能⼒，每天新增 成“⽹+端”的XDR能⼒
Webshell，快速检出 1000TB 数据，超1000 3.云端Webshell引擎：⽀
3.⽂件检测引擎：服务端
个数据采集节点 集成⾃研⽂件引擎、第三 持反混淆和动态检测，检
⽅AV引擎，实现杀毒能⼒ 测最新Webshell变种

4.服务端Webshell引擎：
⽀持机器学习⽂本检测，
检测最新Webshell变种
⼊侵检测 – 全⾯检测
n 多场景布局

⽂件 7款⽂件引擎
已知
情报+规则+算法
威胁
4款⾏为引擎
⾏为
ATT&CK 80%覆盖
检测对象 威胁分类 未知 异常检测+机器学习
威胁 +事件聚合
⽹络 微步情报

多场景布局
多场景设计检测引擎的布局
终端 ⽊⻢+Webshell 和检测规则，覆盖⼴泛的威
情报
胁场景
特征
服务器 7款引擎
规则
检测位置 检测⼿法
云端+云沙箱 机器学习
云端
+Webshell引擎

!"
⼊侵检测 – 全⾯检测
n OneEDR不仅覆盖流⾏威胁，⽽且持续关注新型威胁场景的检测

流⾏威胁 新型威胁

1. 失陷外连：情报引擎检测IOC 1. 内存⻢：加载进程扫描、内存⻢特征
2. 恶意⾏为：⾏为规则+异常检测 2. 容器安全：容器运⾏时安全、容器内Webshell、恶
3. Webshell ：Agent与服务端双引擎检测 意⾏为

4. 病毒检测：Agent、服务端、云端，三管⻬下
5. 挖矿场景：特征、上下⽂关联、XDR
6. 勒索场景：特征、上下⽂关联、XDR

#$
⼊侵检测 – XDR联动
n XDR联动部署示意图

攻击
internet

流量

告警信息
流量信息
EDR检测结果
主机⾏为信息
⼊侵⾏为

进程⽇志
⽹络⽇志
⽂件⽇志
⼊侵检测 – XDR联动
n 典型场景：OneEDR+TDP联动，检测webshell⾏为

流量 ①扫描 ②上传⽂件 ④访问Webshell执⾏命令

⽹⻚

①②④ 流量⾏为
③⑤ 主机⾏为

带上传漏洞的Web界⾯ 新上传的Webshell⽂件

系统

wget
③写webshell⽂件 ⑤执⾏bash命令

whoami
⼊侵检测

如何做到全⾯检测? 如何做到精准告警?

多引擎检测 ⾼可信的检测引擎

多场景布局 国内⾸创的主机事件聚合技术

流⾏威胁检测解析（失陷外连、恶意⾏为、Webshell、
病毒、挖矿、勒索

新型威胁检测解析（内存⻢、容器）
⼊侵检测 – 精准告警
n 四款⾼可信度检测引擎

威胁情报 Webshell引擎 攻击特征IOA 云沙箱

• 精准的威胁情报 IOC • 精准的webshell引擎 • 精准的攻击特征 IOA • 精准的云沙箱

• 99.9%准确率 • 99%准确率 • 映射ATT&CK攻击技术 • 百万级恶意样本验证
事件聚合 – 精准告警
n 国内⾸创主机事件聚合告警技术
事件聚合：威胁图引擎+机器学习
事件聚合 机器2

连
接 事件打分

98
登陆 ü 单点告警

ü 组合告警
接
连 ü 事件统计
漏洞利⽤ 下载+执⾏
执⾏
IP ü 机器学习

机器1

事件打分：对⼊侵事件的威胁程度进⾏打分
事件聚合：利⽤主机威胁图引擎关联⼊侵事件
利⽤告警组合、机器学习、标签传递等技术对⼊侵事件进
纵向关联：即在⼀个主机内按照执⾏先后顺序关联恶意动作，⽐如关联⽗⼦进程关 ⾏整体打分，做到精准告警
系、⽂件读写、⽹络链接等⾏为。⽤于跟踪恶意⾏为链条。
利⽤机器学习⽅法给主机、⽂件、⽤户进⾏⾏为分析，即
横向关联：即跨主机关联⼀次⼊侵事件，⽐如通过恶意远控地址、内⽹横移等。⽤
UEBA
于跟踪⼀次攻击的内⽹扩散路径与攻击⾯梳理
事件聚合 – 精准告警
事件聚合优势

• 国内⾸家，OneEDR独有的创新技术
• 关联恶意⾏为上下⽂，聚合更多信息，做出精准告警
• 以点及⾯，实现⼀点告警，全链路溯源，达到全⾯检测
• 以事件形式展示⼊侵威胁，避免海量独⽴告警
• ⾃动化完成威胁链路追踪，来源于⼈⼯溯源经验
• 形成进程链路和实体关联图，实现威胁可视化，加快溯源
溯源响应
n 事件聚合图展示

提供快速溯源工具 ②
• 事件图：详细记录⼊侵关键节点，展示威胁概况
• 进程链图：深度追溯事件发展脉络

①
溯源响应
n 全量的⽇志灵活检索

⼤数据平台设计
• 服务端集成了ElasticSearch、MongoDB、Spark等⼤数据组件
• 形成完完整的⼤数据存储、分析、计算的整套机制
• ⽀持对TB级⽇志进⾏灵活搜索，⽀持SQL语句

进程⽇志

发起⽹络连接⽇志

⽂件修改⽇志

⽇志类型
登录⽇志

注册表⽇志
 溯源响应
n 告警处置动作

隔离⽂件 （规划中）⾃动封恶意
⽹络连接
远程隔离主机上的恶意⽂件
基于情报⾃动封禁

杀进程 （规划中）⾃动隔离⽂件
远程停⽌正在运⾏的恶意进程 基于沙箱检测⾃动隔离恶意⽂件

封IP （规划中）隔离主机
根据IP+端⼝封禁恶意连接 ⽀持主机⼀键快速下线
轻量Agent

服务端
数据接收+终端管控

⽇志采集 资产清点 ⽂件检测 威胁响应 服务端通信 探针性能管理

终端探针功能组件

Agent能⼒ 设计优势

• ⽇志采集：进程、⽹络、⽂件、登录，不做⾏为检测
• 资产采集：采集系统基础信息、服务信息，仅定时执⾏，不持续消耗资源
• ⽂件检测：轻量的⽂本特征检测Webshell和⽊⻢，充分缓存避免充分检测
• 威胁响应：进程阻断、⽹络封禁、隔离⽂件
• 秉承轻终端、重服务端的设计理念
• 核⼼功能限制在⽇志采集和资产采集，不做⾏为检测、不做终
端杀毒，实现轻量级终端探针
• 轻量探针对主机产品⾄关重要，不能影响业务
• 资源消耗限制在0.5%CPU和40MB内存

对业务零影响 CPU平均消耗0.5% 内存平均消耗40MB

04 价值优势
全⾯、精准、易溯源
优势价值 – 聚焦检测，溯源与响应

全⾯ 精准 易溯源

• 12款检测引擎：Webshell、AV、⾏为、异常、 • 精准的单点告警 • 威胁图可视化

情报 情报告警99.9%准确率 攻击链展示全⾯威胁告警和上下⽂信息
• ATT&CK覆盖80% 精准的webshell引擎99%准确率 ⼊侵的来⻰去脉，展示⼊侵点
• 多场景布局，从文件+行为两方面全面覆盖主 精准的攻击特征IOA • 全量日志
机威胁 精准的云沙箱引擎 ⽇志类型包括进程、⽹络、⽂件、登录、注
• 流行威胁检测覆盖（失陷外连、恶意⾏为、 • 精准的事件告警 册表
Webshell 、病毒、挖矿、勒索） 事件聚合99%准确率 ⼤数据组件⽀持⽇志的灵活检索
• 新型威胁检测覆盖（内存⻢、容器） ⽀持⾃定义检索语句的存储，实现快速安全
狩猎
05 应⽤部署
OneEDR主要应⽤部署⽅式
部署⽅式

需求背景
私⽤云部署环境，需要防护的主机数量较少，且各主机物理位置集中。

部署⽅案
在各个服务器主机中安装Agent，Agent采集相关数据到OneEDR检
测平台进⾏检测，同时检测平台也会连接云沙箱和威胁情报云，对不
同类型的威胁做进⼀步检测处理。检测平台下发处置命令到Agent，
对相应威胁进⾏处置响应。

亮点

• 以OneEDR检测平台和Agent的配合为核⼼，将终端主机的可疑⽂
件、⽇志⾏为等信息进⾏采集、处理和过滤，上传到OneEDR检测
平台可进⾏全⾯的威胁检测并进⾏及时精确阻断；
• 通过情报、规则、沙箱、机器学习模型等检验⼿段，全⾯覆盖已知
未知威胁；
• 部署便捷、实施运维成本低
LEADER IN THREAT DETECTION AND RESPONSE

电话：400-030-1051

⽹址：www.threatbook.cn