2023精準(zhǔn)EDR能力白皮書(shū)

精準(zhǔn)EDR能力白皮書(shū)2023目目錄前言 1關(guān)鍵發(fā)現(xiàn) 2定義及描述 3EDR 3精準(zhǔn)EDR 3與傳統(tǒng)終端安全產(chǎn)品的區(qū)別 4EDR需求現(xiàn)狀分析 6傳統(tǒng)產(chǎn)品無(wú)法有效捕獲企業(yè)終端面臨的新威脅 6混合辦公、多分支辦公等場(chǎng)景下的統(tǒng)一終端安全視角缺失 6EDR缺乏全面有效的監(jiān)控記錄數(shù)據(jù)支持 6溯源分析定位缺少高效的技術(shù)手段與數(shù)據(jù)支撐 7僅靠流量安全產(chǎn)品的威脅定位和響應(yīng)無(wú)法閉環(huán) 7行業(yè)用戶(hù)場(chǎng)景 83.1分支機(jī)構(gòu)資產(chǎn)納管攻防演練中的攻擊檢測(cè)與快速響應(yīng) 83.2APT攻擊的檢測(cè)與溯源 83.3高危安全事件的終端定位與分析 93.4混合辦公、多分支辦公等場(chǎng)景下的威脅感知 9目目錄關(guān)鍵能力 10攻擊檢測(cè)能力 10檢測(cè)準(zhǔn)確度 10威脅覆蓋度 11數(shù)據(jù)采集能力 11攻擊溯源分析能力 13安全響應(yīng)能力 14代表企業(yè) 15CROWDSTRIKE 15SENTINELONE 17微步在線(xiàn) 19未來(lái)展望 22EDR向精準(zhǔn)化、一體化等不同的方向發(fā)展 22EDR從自動(dòng)執(zhí)行向自主決策發(fā)展 22EDR依然是TDR中核心重要一環(huán) 23不斷提速的信創(chuàng)進(jìn)程需要與之匹配的EDR能力 23PAGEPAGE10EDR?前 言經(jīng)過(guò)近30年的攻防博弈，國(guó)內(nèi)傳統(tǒng)終端安全的需求從最初的防病毒、終端管理、安全審計(jì)等，逐步升級(jí)為端點(diǎn)防護(hù)平臺(tái)EPP、終端數(shù)據(jù)防泄漏等綜合解決方案，隨著近年來(lái)國(guó)際形勢(shì)的變化、國(guó)內(nèi)安全演練活動(dòng)的舉辦、機(jī)構(gòu)主管安全意識(shí)的普遍提升，端點(diǎn)側(cè)的安全能力需求更加側(cè)重對(duì)安全威脅的檢測(cè)與響應(yīng)。由此，端點(diǎn)檢測(cè)與響應(yīng)（EDR）應(yīng)需而生。然而，國(guó)內(nèi)目前大部分EDR產(chǎn)品及解決方案都是基于傳統(tǒng)PC防病毒或終端管理產(chǎn)品發(fā)展演化而來(lái)，核心能力并非原生滿(mǎn)足檢測(cè)與響應(yīng)的需求。例如，防病毒引擎主要基于病毒特征檢測(cè)威脅攻擊行為，不具備實(shí)時(shí)威脅情報(bào)的支持，同時(shí)也缺少上下文關(guān)聯(lián)分析的能力；終端管理產(chǎn)品則重在管理，雖然在應(yīng)急響應(yīng)場(chǎng)景中具備一定的批量處置能力，但是對(duì)威脅的檢出率較弱，安全響應(yīng)的效能化智能化水平也都無(wú)法滿(mǎn)足安全團(tuán)隊(duì)的需求。CrowdStrike內(nèi)有哪些新興安全企業(yè)也具備這樣的能力特點(diǎn)，各界莫衷一是。PAGEPAGE2關(guān)鍵發(fā)現(xiàn)EDREDR案。EDR擊溯源分析能力、安全響應(yīng)能力等四個(gè)維度。下文關(guān)聯(lián)”最具落地實(shí)踐效果。對(duì)威脅檢測(cè)的覆蓋主要包括基于特征的惡意軟件、覆蓋ATT&CKAPTIoCagent以最小化原則回傳。EDR圖的可視化。精準(zhǔn)EDR點(diǎn)隔離，阻斷橫移”為基本原則。EDRPAGEPAGE3EDR?定義及描述EDR（EndpointDetectionand記錄并存儲(chǔ)數(shù)字空間中機(jī)構(gòu)所擁有的各端點(diǎn)狀態(tài)數(shù)據(jù)與行為數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，以應(yīng)對(duì)威脅的安全能力。具體包括，分析端點(diǎn)數(shù)據(jù)，檢測(cè)發(fā)現(xiàn)威脅，進(jìn)行隔離、查殺等安全響應(yīng)；對(duì)正在發(fā)生或已發(fā)生的安全事件進(jìn)行追蹤溯源；針對(duì)潛在的風(fēng)險(xiǎn)（如二次攻擊、未修復(fù)漏洞等），基于客戶(hù)業(yè)務(wù)需求提供修復(fù)與保護(hù)建議；最終，實(shí)現(xiàn)整個(gè)數(shù)字環(huán)境中對(duì)未知威脅與高級(jí)可持續(xù)威脅的檢測(cè)與響應(yīng)。（注：本定義取自《數(shù)世咨詢(xún)：EDR2021》，有修改）端點(diǎn)的范疇：本報(bào)告中的“端點(diǎn)”若無(wú)特別說(shuō)明，主要是指數(shù)字空間中某機(jī)構(gòu)所擁有的辦公電腦、個(gè)人移動(dòng)終端、IoT設(shè)備、網(wǎng)絡(luò)設(shè)備、聯(lián)網(wǎng)打印機(jī)、攝像頭等終端設(shè)備。需要強(qiáng)調(diào)的是，本報(bào)告的端點(diǎn)中不包含物理主機(jī)、虛擬機(jī)、容器等服務(wù)器設(shè)備，主機(jī)場(chǎng)景下的檢測(cè)與響應(yīng)，數(shù)世咨詢(xún)單獨(dú)以“主機(jī)檢測(cè)與響應(yīng)HDR”進(jìn)行了劃分，詳見(jiàn)《數(shù)世咨詢(xún)：主機(jī)檢測(cè)與響應(yīng)HDR能力指南》（2022）。EDREDREDREDRPAGEPAGE4圖例1：精準(zhǔn)EDR示意簡(jiǎn)圖與傳統(tǒng)終端安全產(chǎn)品的區(qū)別精準(zhǔn)EDR與終端管理類(lèi)產(chǎn)品相比（如終端管理、桌面管理）：√產(chǎn)品定位不同，終端管理產(chǎn)品為IT運(yùn)維工程師提供管理上的便捷，而精準(zhǔn)EDR關(guān)注的是黑客攻擊行為，供安全管理員應(yīng)對(duì)威脅使用；√安全能力不同，終端管理產(chǎn)品的安全能力較弱，一般具備弱口令掃描、漏洞掃描等基本安全能力，精準(zhǔn)EDR要能夠檢測(cè)出高級(jí)威脅攻擊行為；√然兩者并不沖突，精準(zhǔn)EDR主要角色為高級(jí)威脅檢測(cè)與響應(yīng)，并且其agent較為輕量，在終端側(cè)的資源占用很小，再基于定位與能力上的不同，因此能夠與用戶(hù)原有終端管理產(chǎn)品并存發(fā)揮各自能力。EDR（EPP、AV在內(nèi)）：√EDR側(cè)的高級(jí)威脅攻擊行為；PAGEPAGE5EDR?√EDRSaaS），生架構(gòu)，支持大規(guī)?？蓴U(kuò)展，能夠及時(shí)應(yīng)對(duì)多場(chǎng)景下的不同需求；√EDR現(xiàn)威脅；√EDR√EPPEDREPPEDR圖例2：與傳統(tǒng)終端安全產(chǎn)品的區(qū)別PAGEPAGE6EDR傳統(tǒng)產(chǎn)品無(wú)法有效捕獲企業(yè)終端面臨的新威脅如定義部分所述，防病毒、EPP等傳統(tǒng)終端安全產(chǎn)品基于已知特征庫(kù)、通過(guò)傳統(tǒng)簽名技術(shù)實(shí)現(xiàn)對(duì)惡意文件的檢測(cè)發(fā)現(xiàn)；面對(duì)未知特征惡意文件，雖逐步發(fā)展出了“云查殺”、“啟發(fā)式檢測(cè)”等功能，但面對(duì)內(nèi)存馬、無(wú)文件攻擊等新型威脅時(shí)，傳統(tǒng)安全產(chǎn)品已無(wú)法有效應(yīng)對(duì)?；旌限k公、多分支辦公等場(chǎng)景下的統(tǒng)一終端安全視角缺失新冠疫情客觀上加速了業(yè)務(wù)上云、居家辦公、遠(yuǎn)程協(xié)同等混合辦公、多分支辦公的場(chǎng)景，機(jī)構(gòu)安全團(tuán)隊(duì)需要同時(shí)覆蓋多類(lèi)型、多屬地的終端安全需求，然而在同時(shí)面對(duì)VPNWeb很易出現(xiàn)疏漏。與此同時(shí)，機(jī)構(gòu)下轄的各分支機(jī)構(gòu)安全建設(shè)投入先后有別，水平不一，人員少經(jīng)驗(yàn)淺安全意識(shí)薄弱是普遍現(xiàn)象，攻擊者一旦進(jìn)入，橫向移動(dòng)內(nèi)網(wǎng)擴(kuò)散暢統(tǒng)一的終端安全視角成為最迫切需求之一。EDR要想具備統(tǒng)一的終端安全視角，需要對(duì)終端進(jìn)行監(jiān)控記錄全覆蓋。然而我們調(diào)研發(fā)現(xiàn)，目前行業(yè)內(nèi)大部分EDR產(chǎn)品在端側(cè)的數(shù)據(jù)采集能力都較弱。相反還可能會(huì)占用更多的計(jì)算資源與網(wǎng)絡(luò)資源，影響業(yè)務(wù)連續(xù)性與用戶(hù)體驗(yàn)。監(jiān)控記錄數(shù)據(jù)是否有效支撐，要看覆蓋度與精準(zhǔn)度。覆蓋度與精準(zhǔn)度要考慮機(jī)PAGEPAGE7EDR?構(gòu)用戶(hù)的業(yè)務(wù)特點(diǎn)、基礎(chǔ)設(shè)施環(huán)境、安全需求、外部潛在威脅等，有側(cè)重地采集所需要的監(jiān)控與記錄數(shù)據(jù)。后文在“關(guān)鍵能力”部分會(huì)有詳細(xì)論述。溯源分析定位缺少高效的技術(shù)手段與數(shù)據(jù)支撐溯源分析定位環(huán)節(jié)也需要數(shù)據(jù)支撐，標(biāo)準(zhǔn)是“高效”，實(shí)現(xiàn)手段是將前面提到的端側(cè)采集數(shù)據(jù)，與外部海量的威脅情報(bào)數(shù)據(jù)、基于行為的上下文分析檢測(cè)技術(shù)三者在EDR平臺(tái)側(cè)進(jìn)行融合，對(duì)端側(cè)提供持續(xù)支撐。度自動(dòng)化的溯源分析定位，這是安全運(yùn)營(yíng)團(tuán)隊(duì)的另一個(gè)迫切需求。僅靠流量安全產(chǎn)品的威脅定位和響應(yīng)無(wú)法閉環(huán)IPS、NGFW、UTMIP、NAT源、清除，更加依賴(lài)安全工程師的經(jīng)驗(yàn)水平。EDRPAGEPAGE8行業(yè)用戶(hù)場(chǎng)景攻防演練中的攻擊檢測(cè)與快速響應(yīng)應(yīng)對(duì)攻擊隊(duì)的滲透入侵行為，EDR能夠提供快速的檢測(cè)定位與響應(yīng)阻斷能力。EDR的檢測(cè)定位能力可以發(fā)現(xiàn)內(nèi)網(wǎng)中爆破、提權(quán)等常見(jiàn)攻擊工具，此外還可以用于發(fā)現(xiàn)憑據(jù)獲取、權(quán)限維持和提升、防御繞過(guò)、內(nèi)網(wǎng)信息收集、隱藏命令控制通信等高級(jí)攻擊手法，另外還可以對(duì)內(nèi)網(wǎng)橫移手段中常用的域控攻擊、漏洞利用、遠(yuǎn)程服務(wù)爆破等方式進(jìn)行檢測(cè)。EDR攻擊手法、具體的攻擊動(dòng)作、攻擊進(jìn)程鏈等上下文信息，可用于溯源分析報(bào)告的快速產(chǎn)出。APT不同于一般的網(wǎng)絡(luò)攻擊，APT攻擊具備團(tuán)伙化、專(zhuān)業(yè)化、武器化等特點(diǎn)。團(tuán)伙化體現(xiàn)在分工明確、團(tuán)隊(duì)協(xié)同；專(zhuān)業(yè)化體現(xiàn)在殺傷鏈的每個(gè)環(huán)節(jié)都有針對(duì)性的專(zhuān)業(yè)工具，甚至?xí)閱未喂魧?zhuān)門(mén)開(kāi)發(fā)專(zhuān)用工具；武器化體現(xiàn)在大量使用從未公開(kāi)過(guò)的0day漏洞，或是在黑市上大肆收購(gòu)網(wǎng)絡(luò)攻擊工具，具備軍火買(mǎi)賣(mài)的特征；此外，APT組織一旦成功入侵，反而會(huì)低調(diào)蟄伏下來(lái)，輕易不做任何動(dòng)作，這也為日常排查帶來(lái)了極大的難度。在這樣的場(chǎng)景中，EDRAPTPlayloadAPTPAGEPAGE9EDR?EDRAPT源。高危安全事件的終端定位與分析“永恒之藍(lán)”之后的每個(gè)周五晚上，安全團(tuán)隊(duì)負(fù)責(zé)人收到安全漏洞預(yù)警時(shí)都會(huì)心有余悸。因此，應(yīng)對(duì)高危安全事件，第一時(shí)間對(duì)潛在受到影響的終端進(jìn)行定位與分析，是EDR發(fā)揮作用的另一個(gè)主要場(chǎng)景。EDR，EDR修復(fù)?；旌限k公、多分支辦公等場(chǎng)景下的威脅感知EDR包括對(duì)不同場(chǎng)景下的辦公終端都能實(shí)現(xiàn)“隨時(shí)隨地”的接入和保護(hù)，保證勒索軟件、釣魚(yú)郵件、APTEDR，EDR數(shù)據(jù)，為遠(yuǎn)程終端和分支機(jī)構(gòu)環(huán)境提供持續(xù)的安全評(píng)估，并通過(guò)APIVPN/零信任網(wǎng)關(guān)聯(lián)動(dòng)，及時(shí)阻斷高風(fēng)險(xiǎn)終端入網(wǎng)，從而以統(tǒng)一視角實(shí)現(xiàn)統(tǒng)一檢測(cè)、統(tǒng)一響應(yīng)。PAGEPAGE10關(guān)鍵能力EDR度。攻擊檢測(cè)能力所謂“精準(zhǔn)”，攻擊檢測(cè)要準(zhǔn)，威脅覆蓋要全。檢測(cè)準(zhǔn)確度數(shù)世調(diào)研調(diào)研發(fā)現(xiàn)，在基于特征的匹配檢測(cè)能力之外，想要構(gòu)建更能滿(mǎn)足用戶(hù)需求的檢測(cè)準(zhǔn)確度，目前在多種可選技術(shù)路線(xiàn)中以“上下文關(guān)聯(lián)”最具落地實(shí)踐效果。//行關(guān)聯(lián)分析，從而判斷該事件是否惡意。這里要說(shuō)明的是，事件涉及到的對(duì)象不局限于文件或進(jìn)程，從系統(tǒng)進(jìn)程、服務(wù)、接口、消息、命令行、注冊(cè)表、日志等都應(yīng)當(dāng)加以覆蓋（后面在“數(shù)據(jù)采集能力”部分會(huì)詳細(xì)闡述）。此外，大量關(guān)聯(lián)分析的工作要在端側(cè)和服務(wù)側(cè)分工協(xié)作并加以平衡。端側(cè)的數(shù)據(jù)采集與傳輸不能影響終端與網(wǎng)絡(luò)性能；服務(wù)側(cè)的標(biāo)簽判定、關(guān)聯(lián)分析工作以人機(jī)結(jié)合的方式——例如基于圖論等理論應(yīng)用與機(jī)器學(xué)習(xí)算法等——自動(dòng)化完成。PAGEPAGE11EDR?關(guān)于檢測(cè)準(zhǔn)確度的標(biāo)準(zhǔn)，用戶(hù)需求場(chǎng)景不同，準(zhǔn)確度的標(biāo)準(zhǔn)也不同。實(shí)網(wǎng)攻防演練場(chǎng)景下用戶(hù)終端上的準(zhǔn)確度更側(cè)重高檢出率，允許一定的誤報(bào)率；對(duì)于金融、運(yùn)營(yíng)商等關(guān)基行業(yè)業(yè)務(wù)連續(xù)性要求更高的用戶(hù)終端場(chǎng)景，準(zhǔn)確度的要求則更高，檢出即要求準(zhǔn)確無(wú)誤；其他日常安全運(yùn)營(yíng)場(chǎng)景，根據(jù)實(shí)際情況調(diào)整策略。威脅覆蓋度除了檢測(cè)準(zhǔn)確度，另一個(gè)衡量檢測(cè)能力的維度是威脅覆蓋度。覆蓋的威脅主要包括基于特征的惡意軟件、覆蓋ATT&CKIoAAPTIoC對(duì)于甲方用戶(hù)和乙方企業(yè)來(lái)講，主要考慮成本和生態(tài)合作；ATT&CK，需要對(duì)框架中的組織、戰(zhàn)術(shù)、技術(shù)、步驟、工具軟件等進(jìn)IoAAPTIoA此外，海量、準(zhǔn)確的威脅情報(bào)能力要能覆蓋痛苦金字塔模型中哈希、IP、域名、網(wǎng)絡(luò)/主機(jī)部件、工具等多個(gè)維度，高質(zhì)量的IoC威脅情報(bào)是捕獲TTPs的基礎(chǔ)和保障。數(shù)據(jù)采集能力接口、消息、命令行、注冊(cè)表、日志等，另一方面每個(gè)事件所采集的屬性也要盡量豐富，為溯源分析研判打基礎(chǔ)。數(shù)據(jù)采集的過(guò)程中要考慮到，不同用戶(hù)態(tài)、內(nèi)核態(tài)下不同權(quán)限所接觸到的PAGEPAGE12數(shù)據(jù)有所差別。例如驅(qū)動(dòng)的加載要避免遺漏，對(duì)內(nèi)存馬等高級(jí)威脅攻擊要注意采集內(nèi)存狀態(tài)、內(nèi)存活動(dòng)等行為，避免被繞過(guò)。圖例3：精準(zhǔn)EDR數(shù)據(jù)采集PAGEPAGE13EDR?值得一提的是，采集的數(shù)據(jù)并非全部都要回傳，絕大部分?jǐn)?shù)據(jù)屬于重復(fù)數(shù)agent以最小化原則回傳。攻擊溯源分析能力EDR備底層事件的上下文關(guān)聯(lián)，其次要具備基于圖的可視化。所謂底層事件上下文關(guān)聯(lián)，是指采集事件時(shí)諸多系統(tǒng)進(jìn)程中的行為看似是系統(tǒng)進(jìn)程或正常進(jìn)程，如services.eve、explorer.exe、svchost.exe、winword.exe等，但其實(shí)是惡意文件通過(guò)系統(tǒng)接口、服務(wù)、消息等方式發(fā)起請(qǐng)求實(shí)現(xiàn)的。在采集到這些事件時(shí)，需要加以甄別處理，并結(jié)合上下文，判斷其真實(shí)行為?；趫D的可視化，是指將攻擊過(guò)程以知識(shí)圖譜等方式進(jìn)行可視化展示，重點(diǎn)突出顯示高風(fēng)險(xiǎn)行為所關(guān)聯(lián)的節(jié)點(diǎn)和邊，這樣即使是普通安全分析師也能快速掌握，達(dá)到精準(zhǔn)的攻擊溯源分析能力。圖例4：基于底層事件上下文關(guān)聯(lián)的圖溯源（本圖例由微步在線(xiàn)提供）PAGEPAGE14ATT&CK算法，從而達(dá)到一定程度的自動(dòng)化、智能化水平；最后，依托云原生能力，可以將所有數(shù)據(jù)匯總形成一個(gè)基于云的、可大規(guī)模擴(kuò)展的圖形數(shù)據(jù)庫(kù)，從而形成近乎實(shí)時(shí)的可視化、數(shù)據(jù)分析與威脅防護(hù)能力。安全響應(yīng)能力EDR點(diǎn)隔離，阻斷橫移”為基本原則，不同的場(chǎng)景響應(yīng)方式略有不同。在實(shí)網(wǎng)攻防演練場(chǎng)景中，可結(jié)合威脅情報(bào)針對(duì)疑似失陷終端做快速隔離，或者通過(guò)策略配置限定其可訪(fǎng)問(wèn)的網(wǎng)絡(luò)范圍，進(jìn)行快速處置。APT安全分析專(zhuān)家直接從云端下發(fā)響應(yīng)處置動(dòng)作。更精細(xì)的響應(yīng)動(dòng)作上面，除了基本的隔離終端、文件進(jìn)程阻斷等操作，應(yīng)計(jì)劃任務(wù)和啟動(dòng)項(xiàng)的刪除、賬號(hào)的禁用和刪除、驅(qū)動(dòng)的卸載、頑固病毒木馬的專(zhuān)殺清理等。為了提升響應(yīng)時(shí)效，上述響應(yīng)手段建議以SaaS方式實(shí)現(xiàn)，且所有處置動(dòng)作都應(yīng)可記錄可審計(jì)可檢索。當(dāng)然，這里要說(shuō)明的是，調(diào)研中我們也發(fā)現(xiàn)，在面臨重大安全事件時(shí)，用戶(hù)普遍認(rèn)為必要的現(xiàn)場(chǎng)應(yīng)急響應(yīng)目前仍然是必不可少的。PAGEPAGE15EDR?代表企業(yè)CROWDSTRIKE眾所周知，CrowdStrikeEDR了充分的發(fā)揮和落地。具體到產(chǎn)品和解決方案層面，不同于傳統(tǒng)基于規(guī)則和簽名的殺毒軟件公司（Symantec和McAfee），CrowdStrikeEDRFalconSaaSagent置均通過(guò)云端實(shí)現(xiàn)。PAGEPAGE16這些便捷性，是由100%的云原生架構(gòu)帶來(lái)的，如上圖所示。agent一數(shù)據(jù)庫(kù)ThreatGraphThreatGraph，F(xiàn)alcon持續(xù)地收集、處理和實(shí)時(shí)分析所有客戶(hù)終端所面臨的的威脅。功能方面，通過(guò)智能優(yōu)先排序、上下文關(guān)聯(lián)、快速搜索等功能，F(xiàn)alconInsight能夠帶來(lái)顯著的效率提升，如下圖所示：同時(shí)在多年的威脅情報(bào)積累與出色的數(shù)據(jù)溯源分析能力形成的“CrowdStrikePAGEPAGE17EDR?90%升。市面上對(duì)CrowdStrikeCrowdStrikeAISENTINELONESentinelOne公司成立于2013年，總部位于美國(guó)加州的帕洛阿爾托市，公司的產(chǎn)品使用人工智能技術(shù)自動(dòng)化識(shí)別企業(yè)網(wǎng)絡(luò)中的異常行為，保護(hù)用戶(hù)終端設(shè)備免受網(wǎng)絡(luò)安全漏洞的侵害。SentinelOne的主打產(chǎn)品是基于人工智能的XDR奇點(diǎn)平臺(tái)（SingularityPlatform）。該產(chǎn)品將終端防護(hù)、云端安全、事件響應(yīng)、攻擊面管理、甚至ITDR等集中在一個(gè)平臺(tái)中，為企業(yè)所有的互聯(lián)網(wǎng)接入點(diǎn)提供保護(hù)，包括筆記本電腦和臺(tái)式機(jī)，以及各種云設(shè)備、數(shù)據(jù)中心和物聯(lián)網(wǎng)設(shè)備等，防止它們受到惡意軟件、腳本攻擊以及其他的危害。EDR，SentinelOneAIATT&CK其能力特點(diǎn)與其他安全軟件最大的不同之處是，其他安全軟件需要把監(jiān)測(cè)數(shù)據(jù)上傳到云端進(jìn)行分析，同時(shí)也依賴(lài)人工處理監(jiān)測(cè)預(yù)警并采取應(yīng)對(duì)措施，SentinelOne則推崇用機(jī)器對(duì)抗機(jī)器，略去大量的人工判斷轉(zhuǎn)而采用自動(dòng)化監(jiān)測(cè)從而大幅度減少錯(cuò)誤判斷。PAGEPAGE182有安全威脅，平臺(tái)就可以快速采取措施進(jìn)行處理。因此要達(dá)到這個(gè)目標(biāo)，SentinelOne的人工智能引擎是部署在用戶(hù)的本PAGEPAGE19EDR?地化終端側(cè)或云端平臺(tái)的，能在沒(méi)有云端服務(wù)器的情況下運(yùn)行?？吹贸鰜?lái)，SentinelOne相信將其設(shè)備、云服務(wù)和AI融合在一起，能夠比現(xiàn)場(chǎng)或云原生服務(wù)更快地響應(yīng)威脅（毫不避諱且有針對(duì)性地對(duì)標(biāo)CrowdStrike，其官網(wǎng)上甚至專(zhuān)門(mén)有與各個(gè)友商EDR的正面對(duì)比）。除了理念上的不同，功能方面SentinelOne也有一些亮點(diǎn)，例如它支持將實(shí)時(shí)的上下文以時(shí)間線(xiàn)的方式進(jìn)行可視化展示，再例如針對(duì)勒索軟件，SentinelOne具備“一鍵回滾”功能，使系統(tǒng)能夠自動(dòng)將自身重置為以前的某個(gè)狀態(tài)。CrowdStrikeSentinelOne創(chuàng)新技術(shù)路線(xiàn)。資本市場(chǎng)對(duì)其也是青睞有加，2021IPOCrowdStrike20196788IPO。但就核心能力而言，其短板也是很明顯的，即威脅情報(bào)的CrowdStrikeSentinelOne動(dòng)化響應(yīng)才更有價(jià)值。微步在線(xiàn)2022年微步在線(xiàn)進(jìn)行了品牌升級(jí)，品牌升級(jí)背后是安全能力的升級(jí)。以威脅情報(bào)為基礎(chǔ)優(yōu)勢(shì)能力，全面覆蓋了端點(diǎn)、流量、邊界、云端等多個(gè)維度的安全能力。這一點(diǎn)與CrowdStrike是發(fā)展路徑是相類(lèi)似的。PAGEPAGE20EDROneSEC，功能覆蓋溯源分析、智能響應(yīng)等。OneSECCrowdStrikeFalconSentinelOne奇點(diǎn)平臺(tái)的攻擊面管理