背景說明

傳統終端防護多依賴已知威脅特征庫，難以應對零日攻擊、無文件惡意代碼等未知威脅，因此需要 EDR（終端威脅檢測與響應）能力來補位；它能實時監控終端行為以精準識別異常，發現威脅后自動阻斷進程、隔離文件以減少攻擊損失，還可追蹤攻擊路徑與源頭為防護優化提供依據，完整覆蓋 “檢測 - 響應 - 溯源” 環節，有效填補傳統防護在終端安全上的關鍵缺口。

功能說明

AOne EDR 模塊是基于 AI 行為分析引擎的下一代終端安全主動防護解決方案，通過多維度行為監測技術，從 200 + 行為維度對程序運行、系統調用及網絡通信活動進行實時監測，構建 "持續監測 - 智能分析 - 主動響應" 的閉環安全體系，精準阻斷勒索病毒、無文件攻擊等已知 / 未知惡意軟件的入侵與破壞。

??注意：此功能需要購買終端管理企業版套餐。

操作步驟

1. 登錄，選擇【終端管理】。

2. 在左側導航欄點擊【威脅檢測與響應】-【威脅事件】，查看威脅事件分布

3. 針對當前的威脅事件進行研判及分析。

一、威脅統計概覽操作

（一）核心指標展示

該區域呈現威脅事件的關鍵統計數據，包括：

• 總事件數：當前時間范圍（如 “今天”“近 7 天” 等）內的威脅事件總量。

• 待研判威脅事件：需人工分析判斷的威脅事件數量。

• 受影響設備/用戶：遭受威脅的終端設備/用戶數量，可切換 “待研判”/“全部” 查看不同維度數據。

（二）時間范圍切換

在模塊右上角，通過 “今天”“昨天”“近 7 天”“近 30 天”“自定義” 按鈕，可切換統計的時間范圍，數據會隨時間范圍實時更新，并支持自定義數據刷新間隔。

二、威脅攻擊趨勢與事件分布查看

（一）威脅攻擊趨勢

左側 “威脅攻擊趨勢” 以時間軸 + 風險等級折線圖形式，展示不同日期、不同風險等級（嚴重、高風險、中風險、低風險）的威脅事件數量變化。可通過圖例顏色區分風險等級，直觀感知威脅的時間分布與風險變化規律。

（二）事件分布

右側 “事件分布” 以環形圖展示不同 “事件類型” 的數量占比（如程序運行保護、注冊表保護等）。點擊 “研判狀態” 標簽，可切換為按 “研判狀態”（如未研判、已研判等）分布的視圖，快速掌握事件類型或研判狀態的構成情況。

三、威脅事件列表模塊介紹

“威脅事件列表” 模塊用于集中呈現終端檢測到的安全威脅事件，支持查詢、批量操作及單事件詳情查看與研判，助力安全人員高效掌握終端安全態勢并處置威脅。

1. 查詢與篩選

可通過事件名稱 / 事件描述 / 威脅實體輸入框、嚴重等級/事件類型/ATT&CK技戰術/事件狀態/賬戶名下拉框，結合時間范圍選擇器（默認展示近 7 天事件）組合設置篩選條件；點擊「查詢」執行篩選，點擊「重置」清空所有篩選條件。

2. 批量操作

勾選 “跨頁全選” 或指定事件后，可點擊「批量研判」對多選事件統一分析，或點擊「導出」將事件列表導出為本地文件，提升多事件處理效率。

3. 事件信息展示

列表通過多字段展示事件核心信息：

• 基礎與風險類：發現時間（事件檢測時間）、嚴重等級（高 / 中風險等，標識威脅嚴重程度）、事件名稱（如 “惡意進程執行行為”）、事件描述（說明威脅行為詳情，如 “惡意程序執行已攔截”）。

• 防護與攻擊關聯類：事件類型（對應防護場景，如 “程序運行保護”“注冊表保護”）、威脅實體（涉及的文件路徑等威脅載體）、ATT&CK技戰術（關聯 MITRE ATT&CK 攻擊技戰術編號，如 TA0002，輔助分析攻擊手法）。

• 影響與處置狀態類：發生次數（事件出現頻次）、受影響終端（終端名稱 + IP）、所屬用戶（事件關聯用戶）、事件狀態（如 “自動攔截”，展示威脅處置結果）、研判狀態（如 “未研判”，標識事件分析進度）。

4. 單事件操作

“操作” 列支持點擊「詳情」查看事件更細致的上下文信息，或點擊「研判」進行單事件的研判分析、處置決策等操作。

四、威脅事件詳情

用于展示單條威脅事件的完整信息，助力安全人員深入分析威脅行為、溯源攻擊路徑并開展研判工作。

1. 威脅詳情

“威脅事件詳情” 頁面可展示單條威脅事件的完整信息，包括事件風險等級、處置與研判狀態、受影響終端、所屬用戶，還能呈現攻擊過程中 “發起者 - 目標” 進程的交互細節（如進程路徑、MD5、簽名有效性等），并關聯 ATT&CK 技戰術，助力安全人員快速掌握威脅全貌、開展研判分析。

2. 威脅溯源

可視化展示當前威脅事件的風險進程鏈及威脅根因節點。

3. 研判日志

基于時間線倒序呈現威脅事件的研判日志。