在数字化时代,安全运维是企业保护数据和网络安全的基石。但许多企业遭遇一个难题:安全产品发出的告警信息通常难以理解,且缺乏直观性,使得客户难以把握其真正含义。同时,一些潜在的威胁活动并未触发告警,而人工排查这些活动不仅效率低下,效果也不佳,导致安全运维人员难以迅速识别主机的异常行为。这不仅加重了工作负担,也降低了对威胁的响应速度,进而增加了企业的安全风险。
为了解决这些问题,瑞星公司近日宣布,在其终端威胁检测与响应系统(EDR)产品中正式融入全新的星核AI技术,旨在帮助安全运维人员更准确地解读告警信息,深化对主机活动的分析,从而加强企业的网络安全防护。
瑞星安全研究院院长叶超介绍,传统的EDR产品虽然能够记录和响应各种安全事件,但其告警信息往往缺乏足够的上下文解释,使得安全运维人员难以迅速理解告警的真正含义,从而影响了威胁响应的效率和准确性。
瑞星公司深刻洞察到这一点,并致力于通过技术创新,为用户提供更为智能和人性化的安全解决方案,因此借助于大语言模型以及瑞星丰富的网络安全知识,将星核AI技术以”网络安全专家“的角色,融入到瑞星EDR的威胁告警和主机活动视图中,告诉使用者“告警为什么会发生”,“过程是什么”,“危害是什么”,“人工处置建议是什么”,同时还会为使用者分析每个程序活动的风险及其背后的原理,来帮助安全管理员更轻松、快捷地了解和掌握企业网络安全风险。
对于威胁告警,瑞星EDR提供了告警摘要、成因分析以及风险提示三大内容。
告警摘要:这个部分简洁地概括了威胁的基本信息,包括威胁名称、涉及的攻击手段(比如ATT&CK框架中的技术)、威胁的危险程度,以及与威胁相关的活动、进程、文件和注册表等信息。此外,它还会显示这次威胁可能来自哪个攻击组织。
成因分析:这个部分通过星核AI系统对威胁告警的上下文进行分析,解释威胁是如何产生的。它会告诉你具体的威胁来源、发生的过程,并解释为什么会发生。
风险提示:AI会基于对威胁的分析给出应对建议,包括该采取的应急措施,帮助用户应对潜在的安全风险。
通过这三大功能,用户可以更全面、更清晰地了解威胁告警的具体情况,评估系统可能面临的安全隐患,并采取相应的防护措施。
对于主机活动,瑞星EDR提供了针对单一活动事件上下文的研判分析。
分析的类型包括:进程的启动与停止、文件操作、注册表更改、WMI操作、系统服务管理、计划任务调度、域名解析、网络通信以及脚本执行等。而后,将这些结果将通过研判结果、恶意行为列表和处置建议三个关键部分直接呈现给用户。
研判结果:判断该活动是否属于恶意行为,并给出“黑”或“白”的判断。简单来说,就是它会告诉你这个活动是否有问题。
恶意行为列表:如果活动被判定为恶意行为,系统会详细列出可能涉及的恶意行为,并提供解释,帮助用户理解发生了什么。
处置建议:根据研判结果,系统会给出具体的处理建议,帮助用户及时应对和处置潜在的威胁。
特别值得一提的是,瑞星EDR在程序启动事件(命令行)和POWERSHELL代码研判方面表现尤为出色。攻击者往往通过命令行或者PowerShell来执行恶意代码,尤其是在无文件攻击中,这些手段越来越常见。瑞星EDR能够通过AI分析命令行和PowerShell代码,判断它们是否带有恶意意图,并能提取其中的恶意代码。
用户只需要点击“AI智能分析”,就能快速获得详细的分析结果,知道命令行和PowerShell代码背后的危险,并能够理解这些活动为何可能是恶意的。
叶院长指出,瑞星EDR的主机活动事件研判功能旨在为用户提供更加直观和易于理解的内容,以及专家的研判结果。这样做的目的是帮助用户更好地理解告警信息,准确判断并挖掘潜在的安全威胁。未来,瑞星EDR将继续加强包括EDR在内的各项安全产品的智能化水平,深入探索人工智能在网络安全领域的应用,以构建一个全新的网络安全运维闭环模式。
评论