在數(shù)字化時(shí)代，安全運(yùn)維是企業(yè)保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)安全的基石。但許多企業(yè)遭遇一個(gè)難題：安全產(chǎn)品發(fā)出的告警信息通常難以理解，且缺乏直觀性，使得客戶難以把握其真正含義。同時(shí)，一些潛在的威脅活動(dòng)并未觸發(fā)告警，而人工排查這些活動(dòng)不僅效率低下，效果也不佳，導(dǎo)致安全運(yùn)維人員難以迅速識別主機(jī)的異常行為。這不僅加重了工作負(fù)擔(dān)，也降低了對威脅的響應(yīng)速度，進(jìn)而增加了企業(yè)的安全風(fēng)險(xiǎn)。

為了解決這些問題，瑞星公司近日宣布，在其終端威脅檢測與響應(yīng)系統(tǒng)（EDR）產(chǎn)品中正式融入全新的星核AI技術(shù)，旨在幫助安全運(yùn)維人員更準(zhǔn)確地解讀告警信息，深化對主機(jī)活動(dòng)的分析，從而加強(qiáng)企業(yè)的網(wǎng)絡(luò)安全防護(hù)。

瑞星安全研究院院長葉超介紹，傳統(tǒng)的EDR產(chǎn)品雖然能夠記錄和響應(yīng)各種安全事件，但其告警信息往往缺乏足夠的上下文解釋，使得安全運(yùn)維人員難以迅速理解告警的真正含義，從而影響了威脅響應(yīng)的效率和準(zhǔn)確性。

瑞星公司深刻洞察到這一點(diǎn)，并致力于通過技術(shù)創(chuàng)新，為用戶提供更為智能和人性化的安全解決方案，因此借助于大語言模型以及瑞星豐富的網(wǎng)絡(luò)安全知識，將星核AI技術(shù)以”網(wǎng)絡(luò)安全專家“的角色，融入到瑞星EDR的威脅告警和主機(jī)活動(dòng)視圖中，告訴使用者“告警為什么會(huì)發(fā)生”，“過程是什么”，“危害是什么”，“人工處置建議是什么”，同時(shí)還會(huì)為使用者分析每個(gè)程序活動(dòng)的風(fēng)險(xiǎn)及其背后的原理，來幫助安全管理員更輕松、快捷地了解和掌握企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

對于威脅告警，瑞星EDR提供了告警摘要、成因分析以及風(fēng)險(xiǎn)提示三大內(nèi)容。

告警摘要：這個(gè)部分簡潔地概括了威脅的基本信息，包括威脅名稱、涉及的攻擊手段（比如ATT&CK框架中的技術(shù)）、威脅的危險(xiǎn)程度，以及與威脅相關(guān)的活動(dòng)、進(jìn)程、文件和注冊表等信息。此外，它還會(huì)顯示這次威脅可能來自哪個(gè)攻擊組織。

成因分析：這個(gè)部分通過星核AI系統(tǒng)對威脅告警的上下文進(jìn)行分析，解釋威脅是如何產(chǎn)生的。它會(huì)告訴你具體的威脅來源、發(fā)生的過程，并解釋為什么會(huì)發(fā)生。

風(fēng)險(xiǎn)提示：AI會(huì)基于對威脅的分析給出應(yīng)對建議，包括該采取的應(yīng)急措施，幫助用戶應(yīng)對潛在的安全風(fēng)險(xiǎn)。

通過這三大功能，用戶可以更全面、更清晰地了解威脅告警的具體情況，評估系統(tǒng)可能面臨的安全隱患，并采取相應(yīng)的防護(hù)措施。

對于主機(jī)活動(dòng)，瑞星EDR提供了針對單一活動(dòng)事件上下文的研判分析。

分析的類型包括：進(jìn)程的啟動(dòng)與停止、文件操作、注冊表更改、WMI操作、系統(tǒng)服務(wù)管理、計(jì)劃任務(wù)調(diào)度、域名解析、網(wǎng)絡(luò)通信以及腳本執(zhí)行等。而后，將這些結(jié)果將通過研判結(jié)果、惡意行為列表和處置建議三個(gè)關(guān)鍵部分直接呈現(xiàn)給用戶。

研判結(jié)果：判斷該活動(dòng)是否屬于惡意行為，并給出“黑”或“白”的判斷。簡單來說，就是它會(huì)告訴你這個(gè)活動(dòng)是否有問題。

惡意行為列表：如果活動(dòng)被判定為惡意行為，系統(tǒng)會(huì)詳細(xì)列出可能涉及的惡意行為，并提供解釋，幫助用戶理解發(fā)生了什么。

處置建議：根據(jù)研判結(jié)果，系統(tǒng)會(huì)給出具體的處理建議，幫助用戶及時(shí)應(yīng)對和處置潛在的威脅。

特別值得一提的是，瑞星EDR在程序啟動(dòng)事件（命令行）和POWERSHELL代碼研判方面表現(xiàn)尤為出色。攻擊者往往通過命令行或者PowerShell來執(zhí)行惡意代碼，尤其是在無文件攻擊中，這些手段越來越常見。瑞星EDR能夠通過AI分析命令行和PowerShell代碼，判斷它們是否帶有惡意意圖，并能提取其中的惡意代碼。

用戶只需要點(diǎn)擊“AI智能分析”，就能快速獲得詳細(xì)的分析結(jié)果，知道命令行和PowerShell代碼背后的危險(xiǎn)，并能夠理解這些活動(dòng)為何可能是惡意的。

葉院長指出，瑞星EDR的主機(jī)活動(dòng)事件研判功能旨在為用戶提供更加直觀和易于理解的內(nèi)容，以及專家的研判結(jié)果。這樣做的目的是幫助用戶更好地理解告警信息，準(zhǔn)確判斷并挖掘潛在的安全威脅。未來，瑞星EDR將繼續(xù)加強(qiáng)包括EDR在內(nèi)的各項(xiàng)安全產(chǎn)品的智能化水平，深入探索人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，以構(gòu)建一個(gè)全新的網(wǎng)絡(luò)安全運(yùn)維閉環(huán)模式。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）