本站 3月25日消息（刘文轩）微步在线近期宣布完成E轮5亿人民币融资，由CPE源峰领投，云晖资本等继续跟投。联合此前微步在线2020年9月完成的3亿元左右D轮融资，微步在线半年内合计完成融资8亿元。3 月 17 日，微步在线召开主题为“迈向 XDR”的融资暨产物公布会，正式宣布旗下威胁感知平台 Threat Detection Platform 的新版本，基于流量做检测响应的 TDP 能够实现与微步在线旗下终端检测响应产物 OneEDR 的内核级联合，形成“端点+流量”的检测响应模式。

公布会现场，微步在线团结首创人李秋石、微步在线技术合资人赵林林、微步在线OneEDR业务卖力人陈杰、微步在线OneDNS业务卖力人黄雅芳，以及微步在线首席分析师卖力人樊兴华也针对本次推出的新产物与我们分享了各自的看法。

迈向 XDR 并非一步到位

近两年全球网络宁静公司都在实验探索 XDR（Extended Detection and Response），Gartner《Innovation Insight for Extended Detection and Response》中，XDR 被形貌为一种宁静威胁检测和事件响应 SaaS 工具，可以从终端、流量、蜜罐、网关等处发现网络威胁，与云端威胁情报、签名等数据联动比对，通过机械学习等技术，过滤数据噪声，淘汰误报和漏报，将警报自动聚合为完整宁静事件，并实现一键处置。

微步在线推出的终端检测响应产物 OneEDR，也是微步在线迈向 XDR 的一大步，而迈向 XDR 也并非仅一步就能做到，如何调整各产物之间的联动十分重要。微步在线技术合资人赵林林称，“这是一个跨时代的功效，这标志着攻防双方今后进入全面临抗，而且是差别维度的反抗。”

赵林林指出，对于 XDR 来说，产物自身的功效与产物间的配合能力都十分重要，同时，威胁情报能力是产物检测响应能力的基础，如此才气发挥“端+流量”深条理的联动能力，微步在线后续推出的产物也会一直承袭这样的逻辑。

微步在线恒久、连续专注于威胁检测领域，积累了强大的威胁情报和威胁检测分析能力。微步在线首席分析师卖力人樊兴华先容，微步在线后台拥有一套情报流程，他将这套流程比喻为工厂生产线，“是做加工用的”。

樊兴华称，微步在线首先会从外面收罗许多数据，包罗产物的数据，以及通过其他渠道收罗的数据和用户提交的数据。这些数据，放到生产流程内里，而生产流程有许多环节和模块，“就像一个生产线有组装，有清洗，有其他一些模块，最终通过我们这套流程，把我们在产物里用的情报生产出来。”

最终“生产”的规模涵盖了种种维度的威胁，好比一些专门做定向攻击的威胁，其中包罗一些如黑产、行业、攻击等方面的情报。樊兴华先容，微步在线在情报的数量和质量上都处在业内领先职位，在产物中应用的高可信情报约莫近百万量级。

威胁情报能力的产物化

除了 OneEDR，微步在线还宣布了对TDP产物性能的最新升级。微步在线方面表现，单台10G bps版TDP已经正式对外发售、开始服务客户。该版本的TDP在网络抓包和流量处置惩罚方面都取得了突破性的性能革新，流量量级在业内处于领先职位。微步在线售前团队卖力人黄雅芳先容称，TDP 的交互分为两个部门，首先是它自己的服务器，第二个部门是上面连续的数据订阅。

TDP和OneEDR的深度联合，意味着防守方企业与攻击者举行的单点反抗，将转为全面临抗。TDP与OneEDR的联合，增加了企业宁静人员可用的威胁分析维度。可疑行为泛起后，仅凭流量和终端维度的分析，企业宁静人员无法判断某次可疑行为的风险性。但TDP和OneEDR联合后，流量侧做分析时，将端作为一个因子，端侧做分析时也能将流量作为一个因子，两者联合，提供一个二维的信息，网络威胁检测能力获得大幅度提升。

赵林林先容，现在行业中许多网络宁静厂商都在流量检测和终端检测发力，推出的NDR和EDR产物也可以在一定水平上做到联动，但这两种产物的联动形态往往是粗拙、低级的，仅存在数据的互通，无法在分析层面自动参照对方的提供的信息。而微步在线的TDP和OneEDR能够在分析时深度联合，未来也会推出越来越多的宁静产物，做到“共用一个大脑”。

TDP 有哪些特点？赵林林指出，TDP 主要基于情报、双向全流量、检测与响应并重。TDP的检测基于威胁情报。许多网络宁静产物的检测方式是基于签名、规则，或者AI算法，这些方式的配合特点是都从防守方角度出发，去界说、归纳和推测攻击方具备什么样的特征、有什么样的行为。运维事情中，遇到百万级的警报，其中绝大多数都是误报。微步在线的威胁情报准确度可达99.9%，而TDP的准确率在经由微步在线多个客户的逐条磨练后，得出的平均值为99.97%，让TDP的每一次警报都真实有效。

双向全流量意味着更全面的检测，更意味着更多维度的攻击信息。TDP检测网络攻击时，进来的流量能让TDP检测到网络攻击的路径，也就是攻击者做了什么，而出去的流量则能让TDP检测到网络攻击的效果，也就是这次攻击是否乐成、且造成了什么影响。TDP能够在保证每次警报都真实有效时，把警报根据优先级顺序排序给宁静人员展示出来，从而让宁静人员在应急响应时有序处置惩罚，在第一时间把损失减到最小。

检测与响应并重，可以让宁静人员发现问题后一键处置惩罚，制止繁复的手动操作。赵林林先容称，TDP能够通过旁路网络阻断、联动第三方防火墙等多种方式做随处置的闭环。

细节方面，TDP可以举行攻击乐成、资产梳理等事情，资助宁静运维人员增加攻击判断维度、提高检测准确性。判断攻击乐成与否，并不需要太高的门槛，可是网络攻击的种类繁多，判断起来十分难题，宁静厂商在产物中加入这个功效，势必泯灭较多人力物力，TDP加入这个功效，以自动化的形式完成这项事情，也能让事情人员把精神放在更多重要的事情上。