在數(shù)字化時代，安全運(yùn)維是企業(yè)保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)安全的基石。但許多企業(yè)遭遇一個難題：安全產(chǎn)品發(fā)出的告警信息通常難以理解，且缺乏直觀性，使得客戶難以把握其真正含義。同時，一些潛在的威脅活動并未觸發(fā)告警，而人工排查這些活動不僅效率低下，效果也不佳，導(dǎo)致安全運(yùn)維人員難以迅速識別主機(jī)的異常行為。這不僅加重了工作負(fù)擔(dān)，也降低了對威脅的響應(yīng)速度，進(jìn)而增加了企業(yè)的安全風(fēng)險。

為了解決這些問題，瑞星公司近日宣布，在其終端威脅檢測與響應(yīng)系統(tǒng)（EDR）產(chǎn)品中正式融入全新的星核AI技術(shù)，旨在幫助安全運(yùn)維人員更準(zhǔn)確地解讀告警信息，深化對主機(jī)活動的分析，從而加強(qiáng)企業(yè)的網(wǎng)絡(luò)安全防護(hù)。

瑞星安全研究院院長葉超介紹，傳統(tǒng)的EDR產(chǎn)品雖然能夠記錄和響應(yīng)各種安全事件，但其告警信息往往缺乏足夠的上下文解釋，使得安全運(yùn)維人員難以迅速理解告警的真正含義，從而影響了威脅響應(yīng)的效率和準(zhǔn)確性。

瑞星公司深刻洞察到這一點，并致力于通過技術(shù)創(chuàng)新，為用戶提供更為智能和人性化的安全解決方案，因此借助于大語言模型以及瑞星豐富的網(wǎng)絡(luò)安全知識，將星核AI技術(shù)以”網(wǎng)絡(luò)安全專家“的角色，融入到瑞星EDR的威脅告警和主機(jī)活動視圖中，告訴使用者“告警為什么會發(fā)生”，“過程是什么”，“危害是什么”，“人工處置建議是什么”，同時還會為使用者分析每個程序活動的風(fēng)險及其背后的原理，來幫助安全管理員更輕松、快捷地了解和掌握企業(yè)網(wǎng)絡(luò)安全風(fēng)險。

對于威脅告警，瑞星EDR提供了告警摘要、成因分析以及風(fēng)險提示三大內(nèi)容。

告警摘要：這個部分簡潔地概括了威脅的基本信息，包括威脅名稱、涉及的攻擊手段（比如ATT&CK框架中的技術(shù)）、威脅的危險程度，以及與威脅相關(guān)的活動、進(jìn)程、文件和注冊表等信息。此外，它還會顯示這次威脅可能來自哪個攻擊組織。

成因分析：這個部分通過星核AI系統(tǒng)對威脅告警的上下文進(jìn)行分析，解釋威脅是如何產(chǎn)生的。它會告訴你具體的威脅來源、發(fā)生的過程，并解釋為什么會發(fā)生。

風(fēng)險提示：AI會基于對威脅的分析給出應(yīng)對建議，包括該采取的應(yīng)急措施，幫助用戶應(yīng)對潛在的安全風(fēng)險。

通過這三大功能，用戶可以更全面、更清晰地了解威脅告警的具體情況，評估系統(tǒng)可能面臨的安全隱患，并采取相應(yīng)的防護(hù)措施。

對于主機(jī)活動，瑞星EDR提供了針對單一活動事件上下文的研判分析。

分析的類型包括：進(jìn)程的啟動與停止、文件操作、注冊表更改、WMI操作、系統(tǒng)服務(wù)管理、計劃任務(wù)調(diào)度、域名解析、網(wǎng)絡(luò)通信以及腳本執(zhí)行等。而后，將這些結(jié)果將通過研判結(jié)果、惡意行為列表和處置建議三個關(guān)鍵部分直接呈現(xiàn)給用戶。

研判結(jié)果：判斷該活動是否屬于惡意行為，并給出“黑”或“白”的判斷。簡單來說，就是它會告訴你這個活動是否有問題。

惡意行為列表：如果活動被判定為惡意行為，系統(tǒng)會詳細(xì)列出可能涉及的惡意行為，并提供解釋，幫助用戶理解發(fā)生了什么。

處置建議：根據(jù)研判結(jié)果，系統(tǒng)會給出具體的處理建議，幫助用戶及時應(yīng)對和處置潛在的威脅。

特別值得一提的是，瑞星EDR在程序啟動事件（命令行）和POWERSHELL代碼研判方面表現(xiàn)尤為出色。攻擊者往往通過命令行或者PowerShell來執(zhí)行惡意代碼，尤其是在無文件攻擊中，這些手段越來越常見。瑞星EDR能夠通過AI分析命令行和PowerShell代碼，判斷它們是否帶有惡意意圖，并能提取其中的惡意代碼。

用戶只需要點擊“AI智能分析”，就能快速獲得詳細(xì)的分析結(jié)果，知道命令行和PowerShell代碼背后的危險，并能夠理解這些活動為何可能是惡意的。

葉院長指出，瑞星EDR的主機(jī)活動事件研判功能旨在為用戶提供更加直觀和易于理解的內(nèi)容，以及專家的研判結(jié)果。這樣做的目的是幫助用戶更好地理解告警信息，準(zhǔn)確判斷并挖掘潛在的安全威脅。未來，瑞星EDR將繼續(xù)加強(qiáng)包括EDR在內(nèi)的各項安全產(chǎn)品的智能化水平，深入探索人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，以構(gòu)建一個全新的網(wǎng)絡(luò)安全運(yùn)維閉環(huán)模式。

免責(zé)聲明：市場有風(fēng)險，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

標(biāo)簽：