日前，数世咨询发布了《主机检测与响应能力指南》报告，从用户需求、市场现状、企业技术实力与创新能力等角度，对当前国内HDR市场进行了梳理，微步OneEDR主机威胁发现与响应平台凭借在Agent、安全视角的资产发现、安全检测、安全响应等四大HDR关键能力方面的创新性设计，入选数世咨询HDR能力点阵图，成为HDR市场的一骑创新黑马。

据数世咨询定义，主机检测与响应（Host Detection and Response - HDR）是指，以主机侧为目标，以探针（Agent）为基础技术手段，采集网络、文件、进程等多种维度的数据并上传至管理平台，辅助威胁情报关联分析后，以自动化策略或人工响应处置安全事件的解决方案。所谓“主机”，为服务器（物理主机、裸金属）、虚机（包括云主机）和容器的统称。

随着数字化进程的不断深入发展，数字经济已经成为国民经济的重要支柱，而数字经济背后最重要的基础设施之一就是主机，由于合规需求、安全技术、提升安全运维效率及实战攻防演练场景等驱动因素，国内HDR细分领域在2021年的市场规模达到了21.56亿元。

作为主机安全的最后一道防线，数世咨询认为，HDR与PC端的EDR、传统的HIDS以及CWPP理念从性能、功能、效能与价值等方面都有着显著不同，相较而言，HDR必须具备Agent、安全视角的资产发现、安全检测、安全响应等四大关键能力。微步OneEDR正是凭借在这四大能力方面的创新性设计，成为HDR市场的一骑“黑马”。

轻量稳定的Agent能力

HDR实时的安全监测数据采集主要靠Agent实现，而对用户而言，业务的连续性与稳定性需求是最高优先级，HDR Agent必须要做到极致的性能稳定，还要足够轻量，尽可能少占用资源，以避免对业务主机性能带来影响、出现资源争用等现象，并在此基础之上提供高安全能力。

OneEDR整体架构采用“轻终端重服务端”设计，主机Agent仅负责较少且轻量级的功能，对资源消耗比较高的功能和检测项会放到服务器端或云端。从技术架构上保证了Agent的轻量设计但又不缺失安全功能。

据实测数据显示，OneEDR部署在主机上的Agent，运行时CPU平均消耗0.5%以下，内存消耗平均40MB左右，对系统影响极小；在数据采集后的上传方面，Agent利用数据过滤和压缩技术，平均每天仅50MB左右的数据总上传量，对网络几乎没有影响。OneEDR控制台还提供了“自杀”策略设置，可根据用户实际需求进行设置，一旦Agent超过某个阈值，将自动中止进程，释放资源，避免对业务产生影响。 OneEDR Agent可在部署前，针对目标主机的性能需求等级，选择启用/关闭某些功能选项，以更精细地控制Agent资源占用率

并且，OneEDR Agent的功能还采用模块化设计理念，每个功能模块都有相应的启用/关闭按钮，用户可根据主机上所支撑业务的特点、优先级与安全风险等情况综合评估，灵活选择启用/关闭Agent上的某些功能模块，以进一步降低Agent的资源占用率。

不在主机做对抗，是OneEDR Agent的另一个设计原则。在主机上与攻击者进行对抗，会导致资源占用率提高，可能对业务平稳运行带来影响；同时，攻击者会想办法绕过具有对抗能力的Agent，出现攻击“看不见”、“抓不到”等现象，由此给企业带来更高的安全风险。

强大丰富的资产发现能力

基于安全视角的资产发现与管理，是有效检测与响应的前提。通过对主机层、系统层、应用层乃至Web层等各细化层级的资产清点，可为后续的安全基线梳理、快速精准检测、快速发现威胁、快速做出响应打好基础。 OneEDR采用“Agent采集、服务端存储展示”架构，在高稳定性的基础上，采集各类型资产数据，保证资产数据的准确性和全面性

OneEDR能够自动化清点进程、端口、账号、Web服务器、Web应用、Web框架、Web站点、数据库、服务应用等资产，覆盖基础资产（如硬件信息、OS类型、账户、端口等）和服务资产（Web服务、框架及应用等）两大类型。根据不同业务特点进行针对性识别。目前OneEDR可识别业务类型超过800余类，同时还可针对每一项资产的变更进行记录和展示，方便管理员更好地了解资产实时变化情况，确保资产始终处于安全状态。

全面精准的检测能力

全面、精准的检测是防范网络攻击的必要前提，数世咨询认为HDR检测能力应具备结合情报的脆弱性检测、基于基线的攻击入侵检测、内存安全检测与容器安全检测等四大方面的能力。

微步自创立之初就将“威胁发现与响应”能力作为核心竞争力，OneEDR作为微步面向主机安全领域的重点产品，融入了微步最多的自研专利技术，让OneEDR具备了全面、精准的检测能力，以避免用户在应对攻击时面临的“抓不到”、“告警多”等难题。

首先在结合情报的脆弱性检测方面，OneEDR风险发现功能可持续监控与分析主机资产的弱密码、漏洞、端口开放风险、配置风险、账号风险等众多风险项，实时发现未知威胁及可疑主机，并集合微步高精准的情报库和漏洞库，关联整合风险能力，帮助用户全面清晰地了解当前企业网络架构资产存在的安全风险。

OneEDR内置了12款自研引擎，比如领先业内的威胁情报检测引擎准确率高达99.99%，融入了机器学习成果的Webshell检测引擎与Linux ELF检查引擎，将业内主流的90%准确度提升到99%以上，以及针对攻击行为特征的检测引擎与内存马检测引擎等，从不同维度进行检测，全面覆盖各种威胁类型。

简洁而不简单的响应能力

OneEDR除了全面精准的单点检测之外，还利用事件聚合、威胁图等方面的专利将单点检测告警信息、情报信息与日志信息相结合，再综合研判打分，不仅能精准告警威胁事件，同时还可评估威胁程度。单点检测+事件聚合两阶段检测的好处还在于，即使漏报某些攻击环节或行为，OneEDR依然能精准告警，因为OneEDR告警针对的是整个事件，而非单点行为。

通过这些技术，OneEDR能够自动还原整个攻击链路，并图形化展现，方便安全人员及时发现威胁、定位威胁，并找出黑客攻击的风险点，避免再次被攻击。并且，OneEDR还可与微步另一款基于流量检测的威胁感知平台TDP联动响应，将主机行为与流量行为相结合，进一步提高告警精准度，让威胁“无处遁形”。

以应对Webshell攻击为例，利用OneEDR+TDP联动，可将流量行为与主机行为统一综合分析，进一步提升威胁发现与响应水平

除了上述四大能力之外，OneEDR还具备横向扩展能力，利用多台OneEDR设备组成集群，用户不仅可根据数据中心内主机规模按需扩展，利用统一管理控制台能够大幅简化安全运营流程，极大地降低运维复杂度。

基于微步7年专注在“威胁发现与响应”领域获得的经验技术，OneEDR利用资产盘点、风险发现、12款自研引擎、事件聚合为代表专利技术等特点功能，不仅能够帮助企业打造从事前预防、事中响应、定位溯源的安全闭环，还具备可视化、灵活策略制定、丰富报告等功能，有效解决应对网络威胁时的“看不见”、“抓不到”、“告警多”与“溯源困难”等难题。