再获提名推荐，启明星辰NDR产品获得Gartner《2024 NDR市场指导报告》提名代表厂商

自2023年以来，启明星辰集团的NDR产品方案多次被全球权威研究机构Gartner的NDR的相关报告提及：在2023年发布的两份NDR新兴技术报告“《新兴技术：安全-网络威胁检测与响应的采用率增长情况洞察》（Emerging Tech: Security——Adoption Growth Insights for Network Detection and Response）和《新兴技术：网络威胁检测和响应的最佳用例》（Emerging Tech: Top Use Cases for Network Detection and Response）”中被作为代表性厂商收录，2024年3月底发布的《NDR市场指导报告》（Market Guide for Network Detection and Response）中作为NDR的代表性厂商再次被推荐。

在网络检测与响应市场持续增长且部署场景向IaaS、混合网络场景扩展的背景下，AI增强型NDR产品方案可能加速影响检测与响应市场的未来动态，特别是当前更自动化的安全运营助手中的大型语言模型（LLM）特性的出现，也使主要的客户群体（金融或政府行业的中大型机构的技术型买家）兴趣越来越大。AI增强型方案是几种技术平台方向（混合网络NDR、网络纵深防御NDR、扩展检测与响应XDR)中一种，相较于NDR方案演进的其他方向，是在NDR市场竞争中具有初始优势的方案，所以Gartner2024年的市场指导报告提出应优先考虑NDR作为AI分析的关键提供者。同时，报告延续了2023的增长率情况洞察报告中提及的将人工智能（AI）应用于NDR的IR流程的思路，虽然NDR中使用的大多数人工智能（AI）仍然主要专注于检测，但是作为三个最佳用例之一的“事件响应IR”通过应用AI技术简化IR工作流界面的用户操作，可巨大地改进自动化和整体易用性。

启明星辰NDR方案以CSA-NTA平台为主体，CSA-NTA是一款实战化全流量检测与响应系统，采用元数据和AI驱动设计理念，多种安全分析与处置引擎联合驱动，能够对漏洞利用、木马、蠕虫、挖矿、内部威胁、横向移动以及高级威胁等多种威胁精准检测，并对攻击行为进行自动、半自动化地响应处置。系统支持AI模型特性字段提取，具备“集中建模-分布式应用”的AI模型高效协同应用架构。内置数十种开箱即用的实战化分析仪表盘，支持分析场景低代码构建，并配置安全自动化剧本编排与响应能力，可联动多种类型的安全设备隔离、阻断或调查取证异常行为，实现安全事件分析到响应的高效自动化闭环处置能力，帮助政企客户构建智能化、开箱即用的网络检测和响应系统。

图1 启明星辰NDR方案功能示意图

目前政企客户越来越关注MTTD、MTTI、MTTR指标，迫切需要NDR产品解决告警过载问题，提升威胁分析和响应处置的效率。

1)威胁检测方面，启明星辰的NDR方案融合了多种分析手段，具有更智能的威胁发现和分析能力。

应用AI增强技术，强化未知威胁与高级威胁发现能力，包括ML异常检测和深度学习算法。系统内置了基于流量特征webshell连接的模型，采用随机森林算法识别XMR门罗币挖矿行为的模型，采用LSTM算法识别DGA请求的模型，采用RNN算法识别DNS隐秘隧道的模型。同时，支持AI模型特性字段提取，具备“集中建模-分布式推理”的AI赋能架构，可定期从云端下载AI模型后部署到本地化系统进行模型微调后推理。应用行为分析技术的基线建模能力，内置动态基线技术和预测分析技术，发现用户异常行为、失陷主机、异常登录等安全风险。集成了更传统的检测技术，如签名、基于规则的启发式方法和基于阈值的分析方法。

2)IR工作流方面，启明星辰NDR方案提供了管理和监控仪表盘，从而具备更完备的告警分诊、调查分析、溯源取证能力，提供更全面的安全事件视角。

通过专项场景的监控仪表盘，用户可以定位关注的场景，快速理解威胁事件或异常行为的影响范围、严重程度。在场景分析的工作流处理中，收集了场景相关的告警信息、流量日志上下文信息甚至取证的pcap信息，并应用关联分析、聚合分析等手段进行了事件富化与提纯，让专家级安全分析师能够检查可用于进一步界定影响面和深度取证溯源分析的细节信息。流程化的管理促进事件响应工作流程透明化和灵活化，也帮助了安全分析师专注于狩猎、攻击ATT&CK威胁检测框架，积累并归档处理方案建议和过程信息等诸如此类的相关案例知识。

针对典型的、突出的恶意程序类、安全漏洞、暴力破解、僵尸网络感染、非法外联通信、木马后门感染等攻击事件，启明星辰NDR聚焦于安全事件的管理与监控，对暴力破解、僵木蠕、挖矿软件、失陷主机、弱口令、可疑外联、横向访问、外部访问、扫描探测、可疑进程、web攻击、DGA恶意域名、DNS隐藏隧道、DNS带外查询、内网穿透、反弹shell、 远控软件、tor等安全场景，进行专项监控仪表盘分析管理。同时，系统具备低代码行为分析引擎，内置的仪表盘工具可通过简单的SQL语句以及页面的拖拉拽可视化图标的方式快速拼接场景页面，满足各种安全场景数据可视化需求，极大地提升了场景监控仪表盘的扩展能力。

3)响应处置方面，启明星辰NDR方案提供剧本编排与一键封堵能力，通过更高效的运营经验剧本化缩短响应处置时间。

基于多个因素（单一告警的准确度、多条重复告警的聚合、情报匹配结果）对安全事件进行告警聚合后，安全分析师将告警导入系统的剧本编排流程后，通过剧本内部不同算子的安全能力接口 (API) 和人工确认，可快速地完成某个特定安全事件的处理。针对可自动化防御的告警类型，可启用开箱即用的应用动作阻断或遏制攻击行为，达成了针对恶意网络流量的自动或手动响应能力。

启明星辰NDR方案通过编排自动化技术将人、设备、流程、及工具整合（可集成对接第三方安全设备或应用），持续进行自动化、流程化、规范化安全运营。

NDR市场愈加成熟，同时NDR仍是一个快速增长的市场，据Gartner预估，从2021年到2026年，NDR将以14.1%的复合年增长率（CAGR）增长。启明星辰的NDR方案也将不断提升人工智能技术的运营能力，一方面强化AI小模型技术提高检测分析精准度，另一方面在安全运营智能助手的协助下，利用安全大模型来提供告警解读、告警优先级排序、IR流程推荐、自动获取狩猎取证信息（突出显示事件特定的数据）、自然语言自动生成安全专项场景、报告报表自动生成等能力。