OneSEC的EDR模块利用安装在终端上的轻量级Agent，实时收集终端上的全量行为日志数据并上传云端，利用云端强大的计算资源进行IOA行为特征检测。同时，EDR模块还集成了包括威胁情报IOC、攻击行为IOA、云端百亿级样本库与图关联检测等检测方式，从多个维度交叉检测，综合评判，可全面、精准发现各类威胁事件。经过VB100的评测，OneSEC的检出率可达99.94%。

同时，OneSEC可精准追溯威胁的进程源头和执行流，展示完整的进程上下文信息，让企业安全团队能够迅速掌握攻击详情，并将威胁事件各阶段攻击行为与ATT&CK攻击矩阵相关联。据权威机构实测证明，OneSEC可覆盖超过300项ATT&CK攻击技术及子技术，覆盖完整度高达91.3%。

在交付模式上，OneSEC采用云端订阅模式交付，无需采购硬件，企业只需申请一个账号，即可将分散在全国的办公终端纳入统一管理，并可随企业终端数量增加而随需采购。针对有“数据不出网”等特殊需求的企业，OneSEC支持本地化部署，通过将云端安全能力完整平移到企业办公网络，可帮助企业及时、高效地应对各类威胁事件，同时保证企业总部的安全合规。

OneSEC能从网络和终端两个维度保证办公终端安全。如OneDNS通过将云端威胁情报与DNS相结合，可从网络流量侧检测威胁，通过阻断恶意样本反连、阻止新样本下载、防止打开钓鱼链接等方式保护企业终端安全；EDR模块则利用IOA行为检测、图检测等技术对终端行为日志进行检测分析，提供包括隔离进程、文件、网络乃至终端等多种处置策略。

数世咨询创始人李少鹏认为，未来终端安全一定要轻便，甚至无感。

“微步在线终端安全由于轻便和无感知良好的用户体验是吸引客户的重要原因之一。”李少鹏说道。