星核AI智能研判 讓威脅告警和主機(jī)活動更直觀

在數(shù)字化時代,安全運(yùn)維是企業(yè)保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)安全的基石。但許多企業(yè)遭遇一個難題:安全產(chǎn)品發(fā)出的告警信息通常難以理解,且缺乏直觀性,使得客戶難以把握其真正含義。同時,一些潛在的威脅活動并未觸發(fā)告警,而人工排查這些活動不僅效率低下,效果也不佳,導(dǎo)致安全運(yùn)維人員難以迅速識別主機(jī)的異常行為。這不僅加重了工作負(fù)擔(dān),也降低了對威脅的響應(yīng)速度,進(jìn)而增加了企業(yè)的安全風(fēng)險(xiǎn)。

為了解決這些問題,瑞星公司近日宣布,在其終端威脅檢測與響應(yīng)系統(tǒng)(EDR)產(chǎn)品中正式融入全新的星核AI技術(shù),旨在幫助安全運(yùn)維人員更準(zhǔn)確地解讀告警信息,深化對主機(jī)活動的分析,從而加強(qiáng)企業(yè)的網(wǎng)絡(luò)安全防護(hù)。

瑞星安全研究院院長葉超介紹,傳統(tǒng)的EDR產(chǎn)品雖然能夠記錄和響應(yīng)各種安全事件,但其告警信息往往缺乏足夠的上下文解釋,使得安全運(yùn)維人員難以迅速理解告警的真正含義,從而影響了威脅響應(yīng)的效率和準(zhǔn)確性。

1.jpg

瑞星公司深刻洞察到這一點(diǎn),并致力于通過技術(shù)創(chuàng)新,為用戶提供更為智能和人性化的安全解決方案,因此借助于大語言模型以及瑞星豐富的網(wǎng)絡(luò)安全知識,將星核AI技術(shù)以”網(wǎng)絡(luò)安全專家“的角色,融入到瑞星EDR的威脅告警和主機(jī)活動視圖中,告訴使用者“告警為什么會發(fā)生”,“過程是什么”,“危害是什么”,“人工處置建議是什么”,同時還會為使用者分析每個程序活動的風(fēng)險(xiǎn)及其背后的原理,來幫助安全管理員更輕松、快捷地了解和掌握企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

對于威脅告警,瑞星EDR提供了告警摘要、成因分析以及風(fēng)險(xiǎn)提示三大內(nèi)容。

告警摘要:這個部分簡潔地概括了威脅的基本信息,包括威脅名稱、涉及的攻擊手段(比如ATT&CK框架中的技術(shù))、威脅的危險(xiǎn)程度,以及與威脅相關(guān)的活動、進(jìn)程、文件和注冊表等信息。此外,它還會顯示這次威脅可能來自哪個攻擊組織。

成因分析:這個部分通過星核AI系統(tǒng)對威脅告警的上下文進(jìn)行分析,解釋威脅是如何產(chǎn)生的。它會告訴你具體的威脅來源、發(fā)生的過程,并解釋為什么會發(fā)生。

風(fēng)險(xiǎn)提示:AI會基于對威脅的分析給出應(yīng)對建議,包括該采取的應(yīng)急措施,幫助用戶應(yīng)對潛在的安全風(fēng)險(xiǎn)。

2.gif

通過這三大功能,用戶可以更全面、更清晰地了解威脅告警的具體情況,評估系統(tǒng)可能面臨的安全隱患,并采取相應(yīng)的防護(hù)措施。

對于主機(jī)活動,瑞星EDR提供了針對單一活動事件上下文的研判分析。

分析的類型包括:進(jìn)程的啟動與停止、文件操作、注冊表更改、WMI操作、系統(tǒng)服務(wù)管理、計(jì)劃任務(wù)調(diào)度、域名解析、網(wǎng)絡(luò)通信以及腳本執(zhí)行等。而后,將這些結(jié)果將通過研判結(jié)果、惡意行為列表和處置建議三個關(guān)鍵部分直接呈現(xiàn)給用戶。

研判結(jié)果:判斷該活動是否屬于惡意行為,并給出“黑”或“白”的判斷。簡單來說,就是它會告訴你這個活動是否有問題。

惡意行為列表:如果活動被判定為惡意行為,系統(tǒng)會詳細(xì)列出可能涉及的惡意行為,并提供解釋,幫助用戶理解發(fā)生了什么。

處置建議:根據(jù)研判結(jié)果,系統(tǒng)會給出具體的處理建議,幫助用戶及時應(yīng)對和處置潛在的威脅。

特別值得一提的是,瑞星EDR在程序啟動事件(命令行)和POWERSHELL代碼研判方面表現(xiàn)尤為出色。攻擊者往往通過命令行或者PowerShell來執(zhí)行惡意代碼,尤其是在無文件攻擊中,這些手段越來越常見。瑞星EDR能夠通過AI分析命令行和PowerShell代碼,判斷它們是否帶有惡意意圖,并能提取其中的惡意代碼。

3.gif

用戶只需要點(diǎn)擊“AI智能分析”,就能快速獲得詳細(xì)的分析結(jié)果,知道命令行和PowerShell代碼背后的危險(xiǎn),并能夠理解這些活動為何可能是惡意的。

4.gif

葉院長指出,瑞星EDR的主機(jī)活動事件研判功能旨在為用戶提供更加直觀和易于理解的內(nèi)容,以及專家的研判結(jié)果。這樣做的目的是幫助用戶更好地理解告警信息,準(zhǔn)確判斷并挖掘潛在的安全威脅。未來,瑞星EDR將繼續(xù)加強(qiáng)包括EDR在內(nèi)的各項(xiàng)安全產(chǎn)品的智能化水平,深入探索人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用,以構(gòu)建一個全新的網(wǎng)絡(luò)安全運(yùn)維閉環(huán)模式。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )