2021年3月17日，微步在线宣布完成E轮5亿元人民币融资，此轮由CPE源峰领投，老股东云晖资本等继续跟投。

　　微步在线创始人兼CEO 薛锋

　　此前，微步在线于2020年9月完成了3亿元人民币的D轮融资。

　　从D轮到E轮累积8亿融资规模，微步在线仅用了半年时间，从公开统计数据来看，这是近几年国内安全领域非上市公司中融资额度 高的一家。

　　在宣布融资当天，微步在线介绍了重点产品TDP(基于网络流量检测的威胁感知平台)的新功能和一款全新的EDR产品——OneEDR(主机威胁检测响应平台)，并通过将TDP与OneEDR方案在内核级别实现结合，形成“流量+端点”的检测响应模式，向XDR(扩展的检测和响应)方向迈出了重要一步。

　　作为一家成立不到6年的新一代网络安全公司，微步在线以亮眼的融资记录，一次次刷新着国内网络安全领域投融资的新高。

　　这让人不禁好奇，微步在线凭什么获得多家知名投资机构的追捧，又被资本认定为国内网络安全的“新贵”?

　　构建以XDR为核心的综合安全能力

　　调研机构Gartner在2017年的时候指出，未来五年企业网络安全投入的重心将从阻断(Prevent)向检测(Detect)和响应(Response)倾斜。

　　微步在线CEO薛锋也多次在公开演讲中提到，检测技术是一种核心技术，将在未来的安全方面发挥重要作用，而且情报驱动的安全检测和响应体系将是大势所趋。

　　2019年，微步在线给自己的目标定位是要做“威胁发现和响应专家”，业务重点从威胁情报向威胁检测和响应倾斜，具体到微步在线的产品重点，就是从威胁情报检测API向威胁感知平台TDP倾斜。

　　而在2021年，随着其终端检测响应产品OneEDR的推出，威胁检测和响应能力进一步增强，意味着微步在线向XDR迈出了一大步。

　　那么，到底什么是XDR?微步在线为何要迈向XDR呢?

 

　　在Gartner《Innovation Insight for Extended Detection and Response》报告中，XDR被描述为安全威胁检测和事件响应SaaS工具，它从终端、流量、蜜罐、网关等处发现网络威胁，并与云端威胁情报、签名、规则库、特征库等数据进行联动比对，通过机器学习等技术，过滤数据噪声，减少误报和漏报，将告警自动聚合为完整安全事件，并实现一键处置。

　　目前，XDR市场仍处于发展的早期阶段，市场相对混乱，但要认识到，XDR不仅是一种具体的技术，更是一种方法。它将多种技术能力集成，同时也加入了高级分析能力，以此提高威胁检测和响应的速度，实际表现会优于把一个个独立安全工具组合的方式。

　　而微步在线正是将TDP和OneEDR两个产品以XDR的方式进行 ，这种 可以被称之为“内核级”的 ，是一种比常规组合更深入的 方式。

　　具体而言，微步在线的TDP，作为一种NDR(网络检测与响应)服务，提供网络流量的监测，它可以作为防火墙和DNS解析等安全措施的一个补充。当前者失效，NDR的流量检测能力可以通过网络攻击的行进路线来判断分析。

　　但仅有NDR也是不够的。如果攻击突破了NDR，也就是突破了网络流量层的层层把关，进入到服务器、PC等终端设备，NDR是无法知道攻击者在设备内做了什么。

　　而EDR作为端点的检测与响应服务，则能够在服务器和PC这类终端内部，做安全的检测与响应。这也是此次微步在线重点推出OneEDR产品的原因之一。

　　微步在线OneEDR业务负责人陈杰表示，主机安全是企业安全的 后屏障，OneEDR可提供全面、精准、可溯源的主机威胁检测，具有检测精准度高、资源占用少、可视化能力强等优势。其中，入侵事件检出率达99%，在业界处于顶尖水平。

　　微步在线OneEDR业务负责人 陈杰

　　当微步在线将TDP与OneEDR结合，正是将网络流量监测和端点监测两部分联动起来，两者能相互告知已获得的告警和敏感行为。如果TDP和OneEDR都发现了一个低风险告警，那联动起来就有可能是一个高风险告警，这是任何单一一种分析手段都无法作出的判断。

　　值得注意的是，目前市场上大多数NDR和EDR联动的产品，同样做不到这一点。

　　据微步在线技术合伙人&TDP产品负责人赵林林介绍，其主要原因在于“一般NDR和EDR的联动，只能做到两者互为彼此的眼睛，但却无法使用同一个大脑来分析”。