近日，微步在线OneEDR主机威胁检测与响应平台通过了国际知名第三方网络安全检测机构赛可达实验室的《EDR 威胁检测能力测评方案》和《MITRE ATT&CK® Framework(Enterprise v10)》的测评，获得“东方之星”与“ATT&CK安全能力”双认证。

东方之星认证，大多数安全从业者都见过，但这“ATT&CK安全能力”认证可能还是头一遭见到。

要获得“ATT&CK安全能力”认证，需要通过ATT&CK框架测评方案2.0版，这是赛可达实验室2022年4月才发布的一个面向安全产品及网络安全防护体系的ATT&CK能力及威胁检测能力测评方案。

这个最新的ATT&CK框架测评方案2.0版在威胁检测能力方面有两个非常重要的特点：

• 基于ATT&CK V10，覆盖全部14个攻击战术以及270多个攻击技术和子技术；

• 攻击测试用例库同步全球威胁情报资源，并新增加了多种APT仿真攻击，包括APT3、APT13、APT28、APT37、APT38、FIN6、FIN7、Sidewinder、Muddy Water、MenuPass、Lzarus、Darkhole等，同时还扩充优化了Webshell攻击、勒索攻击等。

赛可达实验室参照《EDR威胁检测能力测评方案》和《MITRE ATT&CK Framework（Enterprise v10）》测评标准，对微步在线OneEDR主机威胁检测与响应平台进行了7个大项、合16个子项的测评，测试结果全部通过。其中，在ATT&CK框架攻击技术覆盖面的测评项中，微步在线OneEDR覆盖了339个（其中技术：133个，子技术206个），整体覆盖率高达91.13%，远高于测试通过所需的200个。全部测试结果如下：

OneEDR是微步在线针对主机安全领域面临新型网络威胁而自研的新一代主机威胁检测与响应平台，为企业用户提供一站式的主机安全运营解决方案，其内融合了包括精准告警、全面检测、溯源响应、XDR联动、轻量化Agent及工程化等六大技术方向的24项自研专利技术。

通过将这些专利技术与微步在线多年经验相结合，最终形成了具有全面、精准、易溯源以及实战化等特点的主机威胁检测与响应平台——微步在线OneEDR，在赛可达实验室的此次测评中，全面验证了OneEDR在事前资产清点风险发现、事中入侵检测与响应，以及溯源分析方面的能力。

事前预防：资产清点与风险发现

资产盘点已经成为企业日常安全建设中首先需要解决的问题。同时在发生安全事件时，全面及时的资产数据支持，也将大大缩短排查问题的时间周期，减少企业损失。赛可达实验室的测评中验证了OneEDR的资产清点与风险发现能力，测试结果全部通过。

OneEDR支持常见资产的梳理和发现能力，自动化清点进程、端口、账号、Web服务器、Web 应用、Web 框架、数据库、服务应用等十余类安全资产，覆盖基础资产和服务清点。根据每个服务器业务特点，系统针对性识别应用，目前可识别业务应用已覆盖 800 余类。

并且，OneEDR可持续监控与分析主机资产的弱密码、漏洞、端口开放风险、配置风险、账号风险等众多风险项，实时发现未知威胁及可疑主机。

事中：全面精准的入侵检测 ATT&CK覆盖率91.13%

入侵检测是OneEDR最具核心竞争力的能力，在赛可达实验室的测评中共覆盖了372个技术，OneEDR检出339项（技术133项，子技术206项），整体覆盖率高达91.13%，远超通过标准所需达成的数量：不低于200个技术覆盖面。这是OneEDR获得“ATT&CK安全能力”认证最核心的能力表现。

OneEDR在多个位置部署多达12种检测引擎，采用“终端+服务端+云端”全方位全场景多角度覆盖的全面检测架构，使得每种检测引擎在不同的检测场景和部署位置发挥最大效用，充分发挥多引擎单点检测优势，实现全面检测。

国内首创的事件聚合功能，将各类威胁告警进行事件聚合和威胁图聚合，将相关联的告警和风险进行聚合，关联相关告警上下文进行分析，确定告警在进程树中的位置，并将每一条告警日志根据其进程链向上回溯到初始进程，全链路检测并溯源，研判是否有相关有效信息和最新告警，提高检测准确性。

完成防御闭环：溯源并响应

尽管在赛可达实验室的测评中只对OneEDR的全量日志功能进行了测试，但实际上，OneEDR在溯源方面拥有更强大的功能，OneEDR除了采集全量进程日志、网络日志、文件日志、登陆日志、注册表日志等各种日志外，还从安全的视角详尽描述告警的信息，并构建完整的、可视化的攻击链路。

并且，用户可以方便快捷地利用集成在OneEDR控制台页面上的多种响应手段，及时阻止威胁扩散，将影响降至最低。对于进程、文件、网络类告警，OneEDR分别有针对性地提供了进程阻断、文件清理和IP封停等快捷的处理方式。利用这些功能，用户在Web控制台即可远程处理主机上的威胁，做到在数秒内响应安全事件，完成威胁处理流程的闭环。

将多年的攻防经验与最新技术相结合，让OneEDR具备了一个有别于传统安全解决方案的能力——实战化能力。传统的防守，例如风险监测等，在攻防不对等的情况下，很难有真正的效果，攻击手段不断提高，对于防守者的要求越来越高。OneEDR对应ATT&CK 网络攻击行为进行单点检测，然后再通过对攻击链路的检测达到实战化对抗，让对抗不仅有防守，更有实战。

OneEDR实战化能力已在企业数据中心内得以验证。比如在去年国家级攻防演练期间，某企业用户就利用OneEDR的溯源取证功能最终发现了某设备上的0day漏洞。而在今年5月，在某企业数据中心，在其他设备无检出的情况下，OneEDR发现了“老狐狸”留下的后门程序，帮助用户及时清理了后门、木马等恶意程序。

OneEDR作为主机的“最后一道屏障”，不仅让您的数据中心更安全，还让您的安全团队在实战中获得能力提升，一举两得！