當(dāng)企業(yè)部署 EDR 之后，真正的挑戰(zhàn)往往不是“能否發(fā)現(xiàn)告警”，而是如何高效完成分析、處置與沉淀。聯(lián)軟科技通過赤兔為聯(lián)軟 EDR 引入 AI 輔助能力，讓 EDR 在保留專業(yè)檢測與響應(yīng)能力的同時，進(jìn)一步擁有更全面的安全運(yùn)營能力和更便捷的使用體驗，推動終端安全運(yùn)營從“看見告警”走向“AI驅(qū)動閉環(huán)”。

在終端安全建設(shè)持續(xù)深化的今天，越來越多企業(yè)已經(jīng)部署 EDR，希望借助終端檢測與響應(yīng)能力提升整體安全防護(hù)水平。但在實際運(yùn)營中，客戶關(guān)注的早已不只是“能不能看到告警”，而是面對海量告警和復(fù)雜攻擊行為時，能否更高效地完成分析、處置和輸出，真正把 EDR 用好、用深、用出價值。

基于這一需求，聯(lián)軟科技通過 AI 輔助能力進(jìn)一步增強(qiáng)聯(lián)軟 EDR，推動產(chǎn)品從“看見告警”走向更全面的安全運(yùn)營能力和更便捷的使用體驗。 

AI+EDR，讓安全運(yùn)營真正形成閉環(huán)

這里所說的 AI 輔助能力，由聯(lián)軟科技推出的“赤兔”承載實現(xiàn)。赤兔可通過接入大模型、MCP 服務(wù)以及專業(yè) Skills，與聯(lián)軟 EDR 的檢測、調(diào)查和處置能力協(xié)同工作。對于客戶而言，加持赤兔的聯(lián)軟EDR因此獲得了更完整的運(yùn)營支撐能力。

 聯(lián)軟赤兔

聯(lián)軟赤兔是聯(lián)軟科技推出的企業(yè)級 AI 智能工作助手，覆蓋研發(fā)、產(chǎn)品、運(yùn)營、銷售、售前、售后等多類業(yè)務(wù)場景，能夠輔助企業(yè)完成文檔生成、方案整理、知識沉淀、客戶支持、交付材料輸出及可視化內(nèi)容創(chuàng)作，幫助客戶提升協(xié)同效率、標(biāo)準(zhǔn)化水平與交付質(zhì)量，加快推動智能化辦公與業(yè)務(wù)運(yùn)營落地。 

過去，EDR 的價值主要集中在終端告警發(fā)現(xiàn)、行為記錄和響應(yīng)處置入口上。它可以幫助客戶看到終端上發(fā)生了什么，也能夠提供必要的處置手段。但在真實運(yùn)營過程中，安全人員往往還要手動篩選重點(diǎn)告警、串聯(lián)攻擊線索、理解攻擊路徑、判斷處置優(yōu)先級，并在處置完成后再整理分析報告。也就是說，EDR 有能力，但運(yùn)營過程仍然較為依賴人工經(jīng)驗和多步驟操作。

在 AI 輔助下，聯(lián)軟 EDR 的能力邊界將被進(jìn)一步打開。圍繞告警查詢、事件分析、處置聯(lián)動和報告輸出，聯(lián)軟 EDR 形成了一條更完整的運(yùn)營閉環(huán)。面對復(fù)雜告警，系統(tǒng)不僅能展示檢測結(jié)果，還能輔助運(yùn)營人員結(jié)合上下文信息理解告警內(nèi)容，快速識別其中涉及的釣魚、勒索等攻擊行為，幫助更快梳理攻擊鏈和風(fēng)險重點(diǎn)。

這意味著，聯(lián)軟 EDR 從“發(fā)現(xiàn)威脅”進(jìn)一步走向“輔助理解威脅”。原本分散的安全信號，可以在 AI 輔助下被更高效地關(guān)聯(lián)起來，讓告警不再只是告警，而是變成可分析、可判斷、可行動的運(yùn)營線索。

除了研判能力的提升，聯(lián)軟 EDR 在 AI 輔助下也實現(xiàn)了更順暢的處置聯(lián)動。借助相關(guān)能力，系統(tǒng)可以對指定終端執(zhí)行網(wǎng)絡(luò)隔離，也可根據(jù)規(guī)則 ID 取消網(wǎng)絡(luò)隔離，還能夠結(jié)合處置場景聯(lián)動執(zhí)行文件隔離、切斷網(wǎng)絡(luò)連接、終止惡意進(jìn)程等操作，并對風(fēng)險狀態(tài)進(jìn)行更新。這讓安全運(yùn)營不再停留在“看見問題、討論問題”，而是能夠進(jìn)一步走向“推動問題處理”，縮短從發(fā)現(xiàn)風(fēng)險到執(zhí)行響應(yīng)之間的路徑。

與此同時，聯(lián)軟 EDR 在 AI 輔助下還帶來了更高效的成果輸出能力。通過自然語言交互，根據(jù)用戶需要生成各種格式的 EDR 告警報告，內(nèi)容涵蓋整體概況、重大安全威脅分析、PowerShell 攻擊活動、持久化分析、威脅類型分布、攻擊時間線分析、ATT&CK 戰(zhàn)術(shù)映射、風(fēng)險總結(jié)與處置建議、需要關(guān)注的告警 ID 以及總結(jié)等章節(jié)。對安全團(tuán)隊而言，這意味著運(yùn)營結(jié)果不僅能被看到、被處置，還能被進(jìn)一步整理為標(biāo)準(zhǔn)化的分析成果。

▲聯(lián)軟EDR告警周報（部分截?。?/span>

更便捷的使用體驗

更重要的是，AI 輔助也讓聯(lián)軟 EDR 的使用體驗變得更加便捷。過去，面對復(fù)雜安全事件，用戶往往需要在多個頁面之間來回切換，手動檢索告警、查看設(shè)備、查找線索、執(zhí)行動作，再分別整理結(jié)論?，F(xiàn)在，很多操作可以通過更自然的方式來完成。用戶只需提出明確需求，系統(tǒng)即可調(diào)用相應(yīng)能力完成輔助處理，讓 EDR 的檢測、分析、處置和輸出能力被更高效地使用起來。

從產(chǎn)品價值來看，AI 輔助帶給聯(lián)軟 EDR 的，不只是一個新的交互入口，而是兩方面的同步提升：一方面，讓 EDR 擁有更全面的安全運(yùn)營能力；另一方面，讓這些能力以更便捷的方式被客戶使用起來。

這樣的聯(lián)軟 EDR，不僅能夠看見威脅，還能夠更快理解威脅、更順暢推動處置、更高效完成總結(jié)；不僅提供終端安全能力，也開始提供更貼近真實場景的運(yùn)營支撐能力。

從“看見告警”到“AI驅(qū)動閉環(huán)”，聯(lián)軟科技正在推動聯(lián)軟 EDR 向更智能、更高效、更易用的方向持續(xù)演進(jìn)，為企業(yè)安全團(tuán)隊帶來更具實戰(zhàn)價值的終端安全運(yùn)營新體驗。