OneEDR精准检测高隐藏型攻击
通常而言,Rootkit主要安装方法是通过运行在用户态(user mode)的应用程序或是运行在内核态(kernel mode)操作系统的漏洞进行安装。其中,用户态Rootkit编写相对简单,涉及精度与知识较少,检测因此更简单,而内核态的Rootkit则因为处于系统底层,隐藏攻击痕迹技巧更为复杂,很难被安全设备检测到。
图:OneEDR检测到内核态Rootkit
微步在线旗下主机威胁检测与响应平台OneEDR在轻量级Agent与服务器平台均内置多款文件检测引擎,且服务端资源充足,检测能力强,成为文件检测核心力量,其拥有自研文件引擎、BitDefender、ClamAV等多款文件检测引擎,可对Rootkit、病毒、木马、黑客工具、挖矿、勒索等多种威胁进行检测。针对Rootkit,OneEDR可有效识别内核模块加载行为,检测对应内核模块文件,并对加载完成内核模块进行异常识别,且会由服务端杀毒引擎再次检查。
OneEDR全面检测:单点检测+事件聚合+内置多种检测引擎
OneEDR不仅能纵深对各种高隐藏型恶意软件进行检测,同时还能通过单点检测+事件聚合+多种引擎的检测架构,实现对主机威胁的全面检测。
单点检测
事件聚合
图:OneEDR入侵事件可视化展示
内置多种检测引擎
OneEDR内置包括微步在线威胁情报检测引擎、终端木马检测引擎、WebShell检测引擎、异常行为检测引擎、行为规则检测引擎、自研文件检测引擎等12种引擎,且对MITRE ATT&CK攻击行为知识库与模型覆盖达80%,可覆盖失陷外连、恶意行为、WebShell、病毒检测、挖矿、勒索等流行威胁,同时覆盖内存马、Rootkit、容器安全等多种新型威胁场景,保证威胁检测的全面性。
OneEDR一站式主机安全防护系统
兼顾安全防御与威胁发现
可实时全面发现企业主机威胁
有效检测Rootkit、内存马等高隐藏型威胁
扫码免费试用
↓↓↓
↑ 戳蓝字立即报名 ↑
哦原文始发于微信公众号(微步在线):OneEDR检测能力再升级:这种高隐藏型木马,可检出!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论