中国 EDR 市场 TOP 5: 微步在线、三六零、奇安信、深信服、安恒

过去，企业终端安全的核心问题很简单，有没有病毒，能不能查杀。

但今天的攻击者早就不按这个剧本演了。他们可能不带恶意文件，不触发传统病毒库，而是借用 PowerShell、WMI、脚本、注册表、远程进程等系统自带工具，在企业网络里一步步潜伏、横移、提权。

单看每一步，似乎都像正常操作；连起来看，才是一场完整攻击。

这也是沙利文近期发布的《2026 年中国端点检测与响应 EDR 市场研究》最值得关注的地方。

报告将 EDR 从 " 杀毒软件升级版 " 里拎了出来，重新定义了企业端点安全。真正的 EDR 不只是拦病毒，而是持续记录电脑、服务器里的进程、文件、网络、注册表、内存和脚本行为，把原本散落在系统里的蛛丝马迹，拼成一条完整的攻击故事线，让攻击过程变得可计算、可还原、可处置。

微步在线、360、奇安信前三

在本次 Frost Radar 评估中，微步在线 OneSEC 位于最前列，增长指数和创新指数均排名第一；360 数字安全排名第二；奇安信排名第三。

深信服紧随其后，安恒信息、启明星辰位于挑战者象限，绿盟科技、天融信入围。

需要说明的是，这不是单纯的营收排名或者市场份额排名，而是围绕基础能力、工程化落地、AI 创新、场景适配和生态贡献进行的综合竞争力评估。

微步在线 OneSEC 原生 EDR，将攻击行为连成图

报告认为，OneSEC 的能力壁垒来自云端协同、威胁情报和行为双引擎检测、图计算攻击链溯源、智能事件聚合，以及自动化响应和清理处置。换句话说，它不是只盯着单台机器里的某个病毒文件，而是试图把全网终端上的异常行为连成图，追出攻击者真正走过的路径。

报告称，OneSEC 的 MITRE ATT&CK 技术覆盖率达到 98%，IOC 准确率达到 99.99%，并在内存马、无文件攻击、加密隧道等高阶逃逸手法上验证了检出能力。

OneSEC 已在 AIDR 上开启先行实践，聚焦通用性 AI 安全，强调流量与终端侧协同检测。

报告提到，OneSEC 针对 OpenClaw 等 AI Agent 带来的新型安全风险进行模块化实践，覆盖 Shadow AI、提示词注入、数据泄露等风险。

这说明端点安全的边界正在变宽，过去是防人、防病毒、防黑客，现在还要防 AI 工具被滥用。

360 数字安全：靠规模化和 AI 工程化打大企业战场

报告显示，360 数字安全 EDR 依托 " 云地一体 " 架构、EB 级安全数据和安全大脑，可管理数百万终端、分析上千亿条安全事件，并通过跨终端关联分析还原多阶段攻击链。其产品支持超过 50 种预置响应动作，可在秒级内完成进程终止或网络隔离；自然语言策略编译平均 10 秒以内，准确率达到 90% 以上。

对大型政企客户来说，这类能力的现实意义很直接，不是多一个安全工具，而是把海量告警变成可以处理的事件。

奇安信：从一体化终端安全平台向 EDR 扩展

报告称，奇安信天擎 EDR 采用 " 云 - 管 - 端 " 三级分布式架构，集成防病毒、EDR、准入控制、资产审计等 12 项能力，更偏向模块化扩展形态。

它的优势在于政企场景、信创生态和一体化管控，已适配麒麟、统信 UOS，以及飞腾、龙芯、兆芯、海光、鲲鹏等国产 CPU 架构。

QAX-GPT 安全大模型则被用于告警研判、优先级排序、攻击推演和剧本生成。

这份报告还有一个关键判断，EDR 里的 AI，也开始分真假了。

过去很多安全产品说自己有 AI，实际可能只是给病毒检测加了机器学习模型，或者把相似告警合并到一起，本质上仍是 " 多认出几个坏文件 "" 少弹几条告警 "。

报告将这类能力称为 " 名义 AI"。

真正有价值的是 " 实效 AI"，它不只看单个文件或单条告警，而是把进程、命令行、脚本、网络连接、注册表修改等行为串起来，判断背后是不是一次攻击。

比如攻击者全程使用系统合法工具，单看每一步都像正常操作，但 AI 能从完整行为序列里识别出恶意意图，这才是 EDR 从 " 识别对象 " 走向 " 理解攻击 " 的关键。

SaaS 还是本地部署？

当下国产化替代提速、网络安全实战演练常态化，想要稳住企业业务不掉链子，EDR 已经成了刚需利器。

国内对 EDR 的需求很有本土特色：很多政企单位因为合规要求、内网隔离等原因，必须做本地化部署，适配等保、重大安保等本地安全规范，因此本地化部署便成了 " 下意识的选择 "。

但不得不说，将核心检测能力放在云端，终端负责简单日志采集和基础操作，既保证检测精准性和及时性，又降低了终端资源占用。从应用上，云化 EDR 已成为当下乃至未来的大趋势。这也是云原生架构成为沙利文等国际一线咨询机构评判 EDR 产品实力和创新力的关键标准的原因。

终局不再是杀毒，而是让企业终端变成安全神经网络

因此，2026 年中国 EDR 市场表面上是一场厂商技术排位赛，实质上是终端安全范式的切换。

从病毒库走向行为遥测，从人工分析走向 AI 辅助调查，从单点查杀走向攻击链溯源，从事后响应走向自动化和预测性防御。

这场竞争的终点，可能不再是 " 谁的杀毒能力更强 "，而是谁能最先把企业终端变成一个可观测、可理解、可自动处置的安全神经网络。