在數(shù)字化時代，安全運維是企業(yè)保護數(shù)據(jù)和網(wǎng)絡安全的基石。但許多企業(yè)遭遇一個難題：安全產(chǎn)品發(fā)出的告警信息通常難以理解，且缺乏直觀性，使得客戶難以把握其真正含義。同時，一些潛在的威脅活動并未觸發(fā)告警，而人工排查這些活動不僅效率低下，效果也不佳，導致安全運維人員難以迅速識別主機的異常行為。這不僅加重了工作負擔，也降低了對威脅的響應速度，進而增加了企業(yè)的安全風險。

為了解決這些問題，瑞星公司近日宣布，在其終端威脅檢測與響應系統(tǒng)（EDR）產(chǎn)品中正式融入全新的星核AI技術，旨在幫助安全運維人員更準確地解讀告警信息，深化對主機活動的分析，從而加強企業(yè)的網(wǎng)絡安全防護。

瑞星安全研究院院長葉超介紹，傳統(tǒng)的EDR產(chǎn)品雖然能夠記錄和響應各種安全事件，但其告警信息往往缺乏足夠的上下文解釋，使得安全運維人員難以迅速理解告警的真正含義，從而影響了威脅響應的效率和準確性。

瑞星公司深刻洞察到這一點，并致力于通過技術創(chuàng)新，為用戶提供更為智能和人性化的安全解決方案，因此借助于大語言模型以及瑞星豐富的網(wǎng)絡安全知識，將星核AI技術以”網(wǎng)絡安全專家“的角色，融入到瑞星EDR的威脅告警和主機活動視圖中，告訴使用者“告警為什么會發(fā)生”，“過程是什么”，“危害是什么”，“人工處置建議是什么”，同時還會為使用者分析每個程序活動的風險及其背后的原理，來幫助安全管理員更輕松、快捷地了解和掌握企業(yè)網(wǎng)絡安全風險。

對于威脅告警，瑞星EDR提供了告警摘要、成因分析以及風險提示三大內容。

告警摘要：這個部分簡潔地概括了威脅的基本信息，包括威脅名稱、涉及的攻擊手段（比如ATT&CK框架中的技術）、威脅的危險程度，以及與威脅相關的活動、進程、文件和注冊表等信息。此外，它還會顯示這次威脅可能來自哪個攻擊組織。

成因分析：這個部分通過星核AI系統(tǒng)對威脅告警的上下文進行分析，解釋威脅是如何產(chǎn)生的。它會告訴你具體的威脅來源、發(fā)生的過程，并解釋為什么會發(fā)生。

風險提示：AI會基于對威脅的分析給出應對建議，包括該采取的應急措施，幫助用戶應對潛在的安全風險。

通過這三大功能，用戶可以更全面、更清晰地了解威脅告警的具體情況，評估系統(tǒng)可能面臨的安全隱患，并采取相應的防護措施。

對于主機活動，瑞星EDR提供了針對單一活動事件上下文的研判分析。

分析的類型包括：進程的啟動與停止、文件操作、注冊表更改、WMI操作、系統(tǒng)服務管理、計劃任務調度、域名解析、網(wǎng)絡通信以及腳本執(zhí)行等。而后，將這些結果將通過研判結果、惡意行為列表和處置建議三個關鍵部分直接呈現(xiàn)給用戶。

研判結果：判斷該活動是否屬于惡意行為，并給出“黑”或“白”的判斷。簡單來說，就是它會告訴你這個活動是否有問題。

惡意行為列表：如果活動被判定為惡意行為，系統(tǒng)會詳細列出可能涉及的惡意行為，并提供解釋，幫助用戶理解發(fā)生了什么。

處置建議：根據(jù)研判結果，系統(tǒng)會給出具體的處理建議，幫助用戶及時應對和處置潛在的威脅。

特別值得一提的是，瑞星EDR在程序啟動事件（命令行）和POWERSHELL代碼研判方面表現(xiàn)尤為出色。攻擊者往往通過命令行或者PowerShell來執(zhí)行惡意代碼，尤其是在無文件攻擊中，這些手段越來越常見。瑞星EDR能夠通過AI分析命令行和PowerShell代碼，判斷它們是否帶有惡意意圖，并能提取其中的惡意代碼。

用戶只需要點擊“AI智能分析”，就能快速獲得詳細的分析結果，知道命令行和PowerShell代碼背后的危險，并能夠理解這些活動為何可能是惡意的。

葉院長指出，瑞星EDR的主機活動事件研判功能旨在為用戶提供更加直觀和易于理解的內容，以及專家的研判結果。這樣做的目的是幫助用戶更好地理解告警信息，準確判斷并挖掘潛在的安全威脅。未來，瑞星EDR將繼續(xù)加強包括EDR在內的各項安全產(chǎn)品的智能化水平，深入探索人工智能在網(wǎng)絡安全領域的應用，以構建一個全新的網(wǎng)絡安全運維閉環(huán)模式。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。

標簽：