据数世咨询定义,主机检测与响应(Host Detection and Response - HDR)是指,以主机侧为目标,以探针(Agent)为基础技术手段,采集网络、文件、进程等多种维度的数据并上传至管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。所谓“主机”,为服务器(物理主机、裸金属)、虚机(包括云主机)和容器的统称。
随着数字化进程的不断深入发展,数字经济已经成为国民经济的重要支柱,而数字经济背后最重要的基础设施之一就是主机,由于合规需求、安全技术、提升安全运维效率及实战攻防演练场景等驱动因素,国内HDR细分领域在2021年的市场规模达到了21.56亿元。
作为主机安全的最后一道防线,数世咨询认为,HDR与PC端的EDR、传统的HIDS以及CWPP理念从性能、功能、效能与价值等方面都有着显著不同,相较而言,HDR必须具备Agent、安全视角的资产发现、安全检测、安全响应等四大关键能力。微步OneEDR正是凭借在这四大能力方面的创新性设计,成为HDR市场的一骑“黑马”。
轻量稳定的Agent能力
HDR实时的安全监测数据采集主要靠Agent实现,而对用户而言,业务的连续性与稳定性需求是最高优先级,HDR Agent必须要做到极致的性能稳定,还要足够轻量,尽可能少占用资源,以避免对业务主机性能带来影响、出现资源争用等现象,并在此基础之上提供高安全能力。
OneEDR整体架构采用“轻终端重服务端”设计,主机Agent仅负责较少且轻量级的功能,对资源消耗比较高的功能和检测项会放到服务器端或云端。从技术架构上保证了Agent的轻量设计但又不缺失安全功能。
并且,OneEDR Agent的功能还采用模块化设计理念,每个功能模块都有相应的启用/关闭按钮,用户可根据主机上所支撑业务的特点、优先级与安全风险等情况综合评估,灵活选择启用/关闭Agent上的某些功能模块,以进一步降低Agent的资源占用率。
强大丰富的资产发现能力
基于安全视角的资产发现与管理,是有效检测与响应的前提。通过对主机层、系统层、应用层乃至Web层等各细化层级的资产清点,可为后续的安全基线梳理、快速精准检测、快速发现威胁、快速做出响应打好基础。
OneEDR采用“Agent采集、服务端存储展示”架构,在高稳定性的基础上,采集各类型资产数据,保证资产数据的准确性和全面性
全面精准的检测能力
OneEDR内置了12款自研引擎,比如领先业内的威胁情报检测引擎准确率高达99.99%,融入了机器学习成果的Webshell检测引擎与Linux ELF检查引擎,将业内主流的90%准确度提升到99%以上,以及针对攻击行为特征的检测引擎与内存马检测引擎等,从不同维度进行检测,全面覆盖各种威胁类型。
简洁而不简单的响应能力
通过这些技术,OneEDR能够自动还原整个攻击链路,并图形化展现,方便安全人员及时发现威胁、定位威胁,并找出黑客攻击的风险点,避免再次被攻击。并且,OneEDR还可与微步另一款基于流量检测的威胁感知平台TDP联动响应,将主机行为与流量行为相结合,进一步提高告警精准度,让威胁“无处遁形”。
除了上述四大能力之外,OneEDR还具备横向扩展能力,利用多台OneEDR设备组成集群,用户不仅可根据数据中心内主机规模按需扩展,利用统一管理控制台能够大幅简化安全运营流程,极大地降低运维复杂度。
基于微步7年专注在“威胁发现与响应”领域获得的经验技术,OneEDR利用资产盘点、风险发现、12款自研引擎、事件聚合为代表专利技术等特点功能,不仅能够帮助企业打造从事前预防、事中响应、定位溯源的安全闭环,还具备可视化、灵活策略制定、丰富报告等功能,有效解决应对网络威胁时的“看不见”、“抓不到”、“告警多”与“溯源困难”等难题。
如需免费试用微步OneEDR
或了解OneEDR功能
欢迎扫码联系我们
↓↓↓
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...