“不被人注意的從線事物，非但不是元兇什么阻礙，反而是瑞星一種線索。解決此類問題時(shí)，何黑手主要運(yùn)用推理方法，揪出一層層往回推”—— 福爾摩斯式的網(wǎng)絡(luò)推理哲學(xué)，在數(shù)字世界的攻擊安全攻防中同樣行之有效。在網(wǎng)絡(luò)安全領(lǐng)域，幕后當(dāng)企業(yè)終端出現(xiàn)進(jìn)程異常、從線文件篡改痕跡或可疑網(wǎng)絡(luò)連接時(shí)，元兇這些常被忽視的瑞星 “數(shù)字細(xì)節(jié)”，恰如犯罪現(xiàn)場的何黑手腳印與指紋，默默記錄著攻擊的揪出真實(shí)軌跡。

面對數(shù)據(jù)泄露、網(wǎng)絡(luò)服務(wù)中斷等安全事件，攻擊企業(yè)需要像偵探一樣抽絲剝繭，探尋攻擊者如何突破防線?后續(xù)又進(jìn)行了哪些操作?瑞星EDR(終端威脅檢測與響應(yīng)系統(tǒng))的 “全鏈路追蹤溯源” 功能，將推理哲學(xué)轉(zhuǎn)化為技術(shù)能力——采集終端系統(tǒng)進(jìn)程、文件、網(wǎng)絡(luò)活動等多維度數(shù)據(jù)，通過智能分析識別異常行為，逆向追溯串聯(lián)攻擊鏈條，完整還原從初始入侵到最終目標(biāo)的達(dá)成路徑。

這一技術(shù)可以助力企業(yè)跳出 “單點(diǎn)防御”，以系統(tǒng)化視角挖掘威脅源頭，為精準(zhǔn)阻斷攻擊、構(gòu)建主動防御體系提供關(guān)鍵支持。

一、抽繭式挖掘線索，靠AI主動御敵

傳統(tǒng)安全防護(hù)多在發(fā)現(xiàn)威脅后進(jìn)行簡單攔截，難以深挖威脅根源與潛在風(fēng)險(xiǎn)。瑞星EDR則通過多維度采集終端系統(tǒng)進(jìn)程、文件等活動信息，為分析提供豐富數(shù)據(jù)。借助AI智能分析，精準(zhǔn)識別異常行為和潛在威脅，利用可視化攻擊鏈還原技術(shù)，直觀呈現(xiàn)攻擊過程、剖析攻擊路徑，實(shí)現(xiàn)從 “被動防御” 到 “主動狩獵” 的轉(zhuǎn)變，做到標(biāo)本兼治。

二、手把手教您如何使用EDR追蹤溯源

1. 基于ATT&CK框架：精準(zhǔn)鎖定威脅 “真面目”

瑞星EDR基于ATT&CK框架對網(wǎng)內(nèi)威脅精準(zhǔn)分類。在分析中心的ATT&CK矩陣模塊里，就像是打開了一本威脅 “百科全書”，您可以輕松查看攻擊維度和受影響主機(jī)數(shù)，獲取威脅詳情，助力制定安全策略。

1)進(jìn)入瑞星EDR產(chǎn)品主界面，找到 “安全威脅” 選項(xiàng)，點(diǎn)擊 “ATT&CK 矩陣”，可看到威脅匯總及相關(guān)數(shù)據(jù)。

2)點(diǎn)擊矩陣中的攻擊類型，查看簡介。點(diǎn)擊 “事件數(shù)” 和 “影響終端數(shù)”，跳轉(zhuǎn)至威脅詳情頁面，深入了解威脅。

2. 一鍵呈現(xiàn)攻擊鏈條：多視角洞察攻擊 “劇本”

瑞星EDR擁有神奇的自動梳理能力，能自動勾勒出從初始入侵到最終目標(biāo)的完整攻擊鏈條，讓攻擊者的行動路線清晰可見，同時(shí)還提供關(guān)系網(wǎng)、時(shí)間軸、3D可視化等多種視角，就像擁有了“透視鏡”，助您從各個(gè)角度洞察攻擊“劇本”。

1)進(jìn)入瑞星EDR產(chǎn)品主界面，點(diǎn)擊“威脅調(diào)查”。在列表中找到要追蹤的事件，點(diǎn)擊“詳情” 查看具體信息。

2)點(diǎn)擊“分析調(diào)查”，對事件可視化展示。在事件節(jié)點(diǎn)右鍵選擇“智能追蹤”，展示全部處理鏈條。

3)在“智能追蹤”界面，可以選擇關(guān)系網(wǎng)、時(shí)間軸、3D三種不同的展示威脅鏈條形式，以滿足不同溯源需求。

3. 智能溯源：自然語言交互，讓威脅無處遁形

瑞星EDR集成了強(qiáng)大的RGPT技術(shù)，帶來全新的智能溯源體驗(yàn)。有了它，即使您不是網(wǎng)絡(luò)安全專家，也能輕松應(yīng)對復(fù)雜的網(wǎng)絡(luò)威脅。

1)點(diǎn)擊“EDR助手” 進(jìn)入AI助手交互界面。

2)向AI助手發(fā)送指令，如“幫我檢索最近三天的告警”，AI助手生成跳轉(zhuǎn)按鈕，點(diǎn)擊獲取結(jié)果。

3)若要在威脅調(diào)查中檢索告警，發(fā)送 “讓我在威脅調(diào)查中檢索這些告警”，點(diǎn)擊AI助手生成的跳轉(zhuǎn)按鈕，獲取檢索結(jié)果。

4)點(diǎn)擊界面右上角“日志分析”，再點(diǎn)擊“刷新”，AI助手對威脅事件研判，給出威脅原因、影響及防范建議。

4. 自定義威脅狩獵規(guī)則：定制專屬安全策略，掌控網(wǎng)絡(luò)安全主動權(quán)

考慮企業(yè)差異，瑞星EDR提供了高度開放的策略配置能力，讓企業(yè)可以定制專屬的安全策略，掌控網(wǎng)絡(luò)安全的主動權(quán)。

1)點(diǎn)擊“安全運(yùn)營——IOC錄入”，點(diǎn)擊“新增IOC按鈕”，添加MD5值、IP地址等作為判斷依據(jù)，點(diǎn)擊“確定”，系統(tǒng)會據(jù)此判斷威脅。

2)點(diǎn)擊“安全運(yùn)營—— 威脅狩獵”，查看現(xiàn)有判斷條件和依據(jù)。

3)點(diǎn)擊威脅狩獵頁面右上角 “新增按鈕”，輸入自定義依據(jù)并 “新增”，生成新規(guī)則，用于判斷新事件或歷史事件是否為威脅。

瑞星EDR的全鏈路追蹤溯源功能，憑借一系列創(chuàng)新技術(shù)和強(qiáng)大的功能模塊，為企業(yè)構(gòu)建起全面、高效、精準(zhǔn)的網(wǎng)絡(luò)安全防護(hù)體系。無論是應(yīng)對復(fù)雜多變的網(wǎng)絡(luò)攻擊，還是滿足企業(yè)個(gè)性化的安全需求，它都能發(fā)揮重要作用，成為企業(yè)網(wǎng)絡(luò)安全防護(hù)的得力助手。