飞连
飞连
- 文档首页
飞连管理员指南终端安全威胁告警管理威胁行为分析与管理
文档反馈
问问助手在终端检测与响应(EDR)体系中,系统通过对全量行为日志的持续分析,能够实时检测并识别终端潜在的安全威胁。威胁行为页面是管理员对安全告警进行集中研判与下发处置指令的操作中心。
通过该功能,管理员可以快速判定威胁性质,并针对受影响的风险实体(如文件、进程、服务等)下发处置指令,以清除终端安全风险。
功能作用
- 集中研判告警:将零散的行为告警聚合为可处理的威胁行为,辅助管理员根据攻击详情进行性质定性(真实攻击、误报或其他)。
- 下发响应指令:针对识别出的风险实体,管理员可直接在页面中下发“隔离文件”、“结束进程”等响应指令。
- 可视化攻击链分析:利用 ATT&CK 攻击矩阵,直观展示威胁所属的攻击阶段与技术手段,辅助管理员评估风险深度。
前置条件
威胁行为的分析研判高度依赖于终端底层的行为遥测数据。因此,使用本功能前,请确保您已通过安全策略配置并下发了生效的 EDR 日志采集策略。若未配置采集策略,系统将无法获取终端行为轨迹,进而无法生成威胁行为告警。
功能关联说明
为了提高安全运营效率,飞连 EDR 建立了从原始数据到安全事件的分层处理机制。理解威胁行为与上下游功能模块的联动关系,有助于管理员更精准、高效地进行风险排查与闭环处置。
威胁行为与日志调查
- 数据提炼机制:
- EDR 日志:作为数据底座,持续采集并记录终端设备上发生的全量原始行为(如进程启动、文件读写、网络连接等)。
- 威胁行为告警:系统依托内置检测规则,对海量 EDR 日志进行自动化特征匹配。当原始日志命中特定攻击模型(如挖矿、勒索、APT 攻击等行为链路)时,系统会将其提取并转化为一条威胁行为告警。
- 告警聚合机制:为了降低冗余信息干扰,系统采用“终端 + 告警名称 + 威胁主体”的索引机制,将多条关联的原始日志聚合成一条威胁行为。
- 使用场景:
- 日志调查(溯源):侧重于底层证据收集。在处理安全事件或排查误报时,管理员可通过威胁行为告警关联的日志,向下钻取至原始 EDR 日志。通过分析完整的行为轨迹(如具体的文件读写路径、访问的远程 IP 等),实现从告警结论到原始证据的安全闭环。
- 威胁行为(研判):侧重于对攻击行为链路的动态管控。在产生告警后,管理员可快速评估威胁性质及受影响范围,并直接下发“结束进程”、“禁用服务”、“删除计划任务”等指令阻断攻击。
威胁行为与响应中心
- 威胁行为(指令下发):管理员在此页面对风险实体进行定性,并执行“隔离文件”、“结束进程”等处置操作。
- 响应中心(任务追踪):管理员在威胁行为页面下发的指令将转化为具体的“响应任务”。关于任务的下发时间、执行进度及最终结果,请前往响应中心页面进行闭环追踪。
威胁行为看板与列表管理
登录飞连管理后台,前往终端安全 > 威胁行为,您可以通过看板全局掌握全网威胁动态。
- 威胁分类统计卡片
威胁行为页面顶部提供了基于威胁性质的自动分类看板。- 威胁场景分类:系统依托 4,000+ 条内置检测规则,对终端行为执行实时监测与匹配。每条预设规则均关联了特定的攻击类型标签(如 AI Agent、黑产、远控、APT、钓鱼等),一旦行为命中规则,系统将自动执行属性归类并同步至页面顶部的分类统计看板。看板数值反映了当前筛选时间段内各场景下的威胁行为总数,辅助管理员快速研判威胁性质与意图,并依据风险趋势优先处理关键分类下的告警。
- ATT & CK 攻击阶段矩阵:点击看板右侧 ATT & CK 攻击阶段按钮可展开全量的矩阵视图,通过“点亮”的技术节点直观评估攻击者的渗透深度。
- 研判分类与筛选工具
管理员可通过多样化的筛选工具,从海量威胁行为告警中精准锁定目标:- 多维筛选:支持组合研判状态、告警名称、告警主体、标签、ATT & CK 攻击阶段、处置状态、员工、设备、操作系统等多个维度进行筛选查询。
- 自定义能力:支持自定义筛选项的展示,以及通过自定义列调整列表字段的显示逻辑。
- 威胁行为列表
列表展示了被聚合后的威胁行为详细信息,并支持以下操作:- 研判:点击对告警性质进行定性(标记为真实/误报/其他)。
- 详情:点击查看该威胁的攻击链视图、关联日志,并针对风险实体执行具体的响应指令。
威胁行为详情分析
点击威胁行为列表操作栏中的详情,可进入深度分析页面。该页面将威胁的研判结论、风险项清理以及证据回溯整合在同一视图中,辅助管理员完成从分析到处置的闭环。
风险特征概览
页面顶部展示了该威胁行为的基础判定信息,用于辅助管理员评估风险等级:
- 规则信息:展示触发告警的规则 ID、置信度(高/中/低)以及关联的父子进程名称。
- 快捷研判:右上角提供研判按钮。若在此页面分析后发现判定有误,可随时重新标记为真实、误报或其它。
关联处置清单
系统基于语义化分析,自动提取并归类了与该威胁直接关联的风险实体。
分类处置:清单按文件、进程、服务等类型分组展示。管理员可针对单个实体执行对应动作。
实体类型
展示数据内容
执行处置动作
逻辑说明
文件
文件名称、文件路径
隔离文件 / 取消隔离文件
按照“文件路径”进行聚合展示。多条重复路径的告警将合并为一条记录。
进程
进程名 (PID)、可执行文件路径
结束进程
按照“进程 PID + 可执行文件路径”进行聚合展示。
服务
服务名称、可执行文件路径
禁用服务 / 取消禁用服务
按照“服务名称”进行聚合展示。
计划任务
任务名称、启动程序详细信息
删除计划任务
按照“计划任务名称”进行聚合展示。
注册表
注册表项 (Key)、注册表路径
删除注册表
按照“注册表路径”进行聚合展示。
批量操作:支持勾选多个风险实体,通过底部的批量处置或批量还原按钮进行一键式高效处理。
响应处置联动机制:在此处点击处置动作(如隔离、结束)后,系统会针对选中的风险实体下发处置指令。该操作将转化为响应任务,记录在终端安全 > 响应中心页面中。当关联处置清单中所有风险项均完成处置后,该威胁行为的整体处置状态将由“未处置”或“部分处置”更新为已全部处置
证据回溯与关联调查
页面下方通过页签形式提供了深度调查工具,管理员无需跳转页面即可完成溯源。
- 详细日志清单:展示与该威胁行为直接关联的原始日志记录。
- 内嵌检索:支持在详情页内对日志 ID、事件类型、设备名称及进程文件名进行二次过滤。
- 日志详情跳转:点击日志操作栏的查看详情,可进一步查看该条原始日志的字段属性。
- 用户及设备信息:切换至该页签,可快速查看受影响终端的详细硬件信息、所属员工及其组织架构,辅助评估威胁的影响面。