Professional Documents
Culture Documents
OneEDR主打PPT
OneEDR主打PPT
全⾯、精准、易溯源的主机⼊侵检测与响应平台
微步在线
02 产品定位
⽬ 录 03 核⼼功能
CONTENTS
04 价值优势
05 应⽤部署
01 背景与需求
从市场状况、技术趋势、安全现状、需求等⽅⾯阐述产品的产⽣原因
主机安全是企业安全的最后屏障
n 新的技术趋势下主机威胁检测愈发重要
• ⽹络信息化的发展驱动了业务服务的安全建设
业务系统的重要性 • 业务系统的安全问题会直接影响业务的正常运⾏、隐私信息的泄露、
⽤户服务体验等
• 业务服务器汇聚了企业⾼价值数据,容易成为⿊客攻击的重点⽬标
• 传统⽹络边界防护受到挑战
• 数据中⼼、私有云、公有云、移动办公的混合结构出现,⽹络
补充传统⽹络防御
边界结构越来越复杂,攻击⾯持续扩展
• ⽹络上的伪装、绕过和加密技术导致⽹络检测难度增⼤
• 终端上⽆论是以⽂件或者是⾏为的⽅式都难以完全隐藏
主机是最后的防御屏障 • 最终的处置定位也需要在终端上完成
• 终端的清理才能真正的实现闭环,⽽不是⽹络阻断
当前主机安全痛点
现象 本质 主机安全的要点 OneEDR定位
检测细粒度不够
有漏报
攻击抓不到
检测不够精准 ⼊侵检测与溯源响应
误报多 专注于主机
安全告警多 ⼊侵检测与溯源响应
新型终端安全防护平台
⽇志记录不精细
缺乏关联
⽆法做溯源
03 核⼼功能
OneEDR的四⼤核⼼能⼒:⼊侵检测、溯源响应、事件聚合、XDR联动
产品能⼒
资产清点 ⼊侵检测
• Agent全量资产采集,服务端统⼀管理运维 • 12款引擎单点检测
• 快速灵活资产检索,提升资产运维效率 • ATT&CK攻击场景覆盖80%
• 基础资产、资产变更、Web资产、服务资产 • 终端+服务端+云端的三级检测机制
• 云沙箱和云查杀实时赋能
• 精准情报追踪流⾏威胁+新型攻击⼿法
ü XDR联动
溯源响应
• “进程链图”:单条告警,深⼊展示攻击链路的
始末,帮助精准溯源 事件聚合
• “全量⽇志溯源”:丰富的系统运⾏⽇志,⽀持 • 国内⾸家主机侧事件聚合技术
灵活检索和⾃定义安全狩猎 • ⾼精度情报引擎+规则引擎
• 多种响应处置动作,协助安全闭环 • 威胁图技术聚合安全事件信息
增值能⼒
轻量Agent 全⾯检测 精准告警 可视化溯源
云端检测
25款AV
云查杀
云沙箱
单点检测 威胁图展示
全⾯检测
云端检测 事件聚合
云查+云沙箱 精准告警
事件聚合
服务端检测
终端采集 威胁图引擎
⽇志+⽂件 情报+7款引擎
终端检测
情报检测+⽊⻢
检测架构
1.终端+服务端+云端;轻终端,重服务端
2.采⽤“单点检测”+“事件聚合”的两级检测机制,“单点检测”保证全⾯性,“事件聚合”+情报保证准确性和易溯源
3.服务端采⽤⼤数据架构,集成多款检测引擎、AV、云沙箱、机器学习等组件,⽀持最新检测技术落地
⼊侵检测
如何做到全⾯检测? 如何做到精准告警?
多引擎检测 ⾼可信的检测引擎
多场景布局 国内⾸创的主机事件聚合技术
流⾏威胁检测覆盖(失陷外连、恶意⾏为、Webshell、
病毒、挖矿、勒索)
新型威胁检测覆盖(内存⻢、容器)
⼊侵检测 – 全⾯检测
n 多引擎检测 :Agent引擎+服务端引擎+云端引擎=12款
Agent端 服务端 云端
4.服务端Webshell引擎:
⽀持机器学习⽂本检测,
检测最新Webshell变种
⼊侵检测 – 全⾯检测
n 多场景布局
⽂件 7款⽂件引擎
已知
情报+规则+算法
威胁
4款⾏为引擎
⾏为
ATT&CK 80%覆盖
检测对象 威胁分类 未知 异常检测+机器学习
威胁 +事件聚合
⽹络 微步情报
多场景布局
多场景设计检测引擎的布局
终端 ⽊⻢+Webshell 和检测规则,覆盖⼴泛的威
情报
胁场景
特征
服务器 7款引擎
规则
检测位置 检测⼿法
云端+云沙箱 机器学习
云端
+Webshell引擎
!"
⼊侵检测 – 全⾯检测
n OneEDR不仅覆盖流⾏威胁,⽽且持续关注新型威胁场景的检测
流⾏威胁 新型威胁
1. 失陷外连:情报引擎检测IOC 1. 内存⻢:加载进程扫描、内存⻢特征
2. 恶意⾏为:⾏为规则+异常检测 2. 容器安全:容器运⾏时安全、容器内Webshell、恶
3. Webshell :Agent与服务端双引擎检测 意⾏为
4. 病毒检测:Agent、服务端、云端,三管⻬下
5. 挖矿场景:特征、上下⽂关联、XDR
6. 勒索场景:特征、上下⽂关联、XDR
#$
⼊侵检测 – XDR联动
n XDR联动部署示意图
攻击
internet
流量
告警信息
流量信息
EDR检测结果
主机⾏为信息
⼊侵⾏为
进程⽇志
⽹络⽇志
⽂件⽇志
⼊侵检测 – XDR联动
n 典型场景:OneEDR+TDP联动,检测webshell⾏为
⽹⻚
①②④ 流量⾏为
③⑤ 主机⾏为
带上传漏洞的Web界⾯ 新上传的Webshell⽂件
系统
wget
③写webshell⽂件 ⑤执⾏bash命令
whoami
⼊侵检测
如何做到全⾯检测? 如何做到精准告警?
多引擎检测 ⾼可信的检测引擎
多场景布局 国内⾸创的主机事件聚合技术
流⾏威胁检测解析(失陷外连、恶意⾏为、Webshell、
病毒、挖矿、勒索
新型威胁检测解析(内存⻢、容器)
⼊侵检测 – 精准告警
n 四款⾼可信度检测引擎
连
接 事件打分
98
登陆 ü 单点告警
ü 组合告警
接
连 ü 事件统计
漏洞利⽤ 下载+执⾏
执⾏
IP ü 机器学习
机器1
事件打分:对⼊侵事件的威胁程度进⾏打分
事件聚合:利⽤主机威胁图引擎关联⼊侵事件
利⽤告警组合、机器学习、标签传递等技术对⼊侵事件进
纵向关联:即在⼀个主机内按照执⾏先后顺序关联恶意动作,⽐如关联⽗⼦进程关 ⾏整体打分,做到精准告警
系、⽂件读写、⽹络链接等⾏为。⽤于跟踪恶意⾏为链条。
利⽤机器学习⽅法给主机、⽂件、⽤户进⾏⾏为分析,即
横向关联:即跨主机关联⼀次⼊侵事件,⽐如通过恶意远控地址、内⽹横移等。⽤
UEBA
于跟踪⼀次攻击的内⽹扩散路径与攻击⾯梳理
事件聚合 – 精准告警
事件聚合优势
• 国内⾸家,OneEDR独有的创新技术
• 关联恶意⾏为上下⽂,聚合更多信息,做出精准告警
• 以点及⾯,实现⼀点告警,全链路溯源,达到全⾯检测
• 以事件形式展示⼊侵威胁,避免海量独⽴告警
• ⾃动化完成威胁链路追踪,来源于⼈⼯溯源经验
• 形成进程链路和实体关联图,实现威胁可视化,加快溯源
溯源响应
n 事件聚合图展示
提供快速溯源工具 ②
• 事件图:详细记录⼊侵关键节点,展示威胁概况
• 进程链图:深度追溯事件发展脉络
①
溯源响应
n 全量的⽇志灵活检索
⼤数据平台设计
• 服务端集成了ElasticSearch、MongoDB、Spark等⼤数据组件
• 形成完完整的⼤数据存储、分析、计算的整套机制
• ⽀持对TB级⽇志进⾏灵活搜索,⽀持SQL语句
进程⽇志
发起⽹络连接⽇志
⽂件修改⽇志
⽇志类型
登录⽇志
注册表⽇志
溯源响应
n 告警处置动作
隔离⽂件 (规划中)⾃动封恶意
⽹络连接
远程隔离主机上的恶意⽂件
基于情报⾃动封禁
杀进程 (规划中)⾃动隔离⽂件
远程停⽌正在运⾏的恶意进程 基于沙箱检测⾃动隔离恶意⽂件
封IP (规划中)隔离主机
根据IP+端⼝封禁恶意连接 ⽀持主机⼀键快速下线
轻量Agent
服务端
数据接收+终端管控
终端探针功能组件
Agent能⼒ 设计优势
• ⽇志采集:进程、⽹络、⽂件、登录,不做⾏为检测 • 秉承轻终端、重服务端的设计理念
• 资产采集:采集系统基础信息、服务信息,仅定时执⾏,不持续消耗资源 • 核⼼功能限制在⽇志采集和资产采集,不做⾏为检测、不做终
端杀毒,实现轻量级终端探针
• ⽂件检测:轻量的⽂本特征检测Webshell和⽊⻢,充分缓存避免充分检测
• 轻量探针对主机产品⾄关重要,不能影响业务
• 威胁响应:进程阻断、⽹络封禁、隔离⽂件
• 资源消耗限制在0.5%CPU和40MB内存
全⾯ 精准 易溯源
需求背景
私⽤云部署环境,需要防护的主机数量较少,且各主机物理位置集中。
部署⽅案
在各个服务器主机中安装Agent,Agent采集相关数据到OneEDR检
测平台进⾏检测,同时检测平台也会连接云沙箱和威胁情报云,对不
同类型的威胁做进⼀步检测处理。检测平台下发处置命令到Agent,
对相应威胁进⾏处置响应。
亮点
• 以OneEDR检测平台和Agent的配合为核⼼,将终端主机的可疑⽂
件、⽇志⾏为等信息进⾏采集、处理和过滤,上传到OneEDR检测
平台可进⾏全⾯的威胁检测并进⾏及时精确阻断;
• 通过情报、规则、沙箱、机器学习模型等检验⼿段,全⾯覆盖已知
未知威胁;
• 部署便捷、实施运维成本低
LEADER IN THREAT DETECTION AND RESPONSE
电话:400-030-1051
⽹址:www.threatbook.cn