背景说明

传统终端防护多依赖已知威胁特征库，难以应对零日攻击、无文件恶意代码等未知威胁，因此需要 EDR（终端威胁检测与响应）能力来补位；它能实时监控终端行为以精准识别异常，发现威胁后自动阻断进程、隔离文件以减少攻击损失，还可追踪攻击路径与源头为防护优化提供依据，完整覆盖 “检测 - 响应 - 溯源” 环节，有效填补传统防护在终端安全上的关键缺口。

功能说明

AOne EDR 模块是基于 AI 行为分析引擎的下一代终端安全主动防护解决方案，通过多维度行为监测技术，从 200 + 行为维度对程序运行、系统调用及网络通信活动进行实时监测，构建 "持续监测 - 智能分析 - 主动响应" 的闭环安全体系，精准阻断勒索病毒、无文件攻击等已知 / 未知恶意软件的入侵与破坏。

⚠️注意：此功能需要购买终端管理企业版套餐。

操作步骤

1. 登录边缘安全加速控制台，选择【终端管理】。

2. 在左侧导航栏点击【威胁检测与响应】-【威胁事件】，查看威胁事件分布

3. 针对当前的威胁事件进行研判及分析。

一、威胁统计概览操作

（一）核心指标展示

该区域呈现威胁事件的关键统计数据，包括：

• 总事件数：当前时间范围（如 “今天”“近 7 天” 等）内的威胁事件总量。

• 待研判威胁事件：需人工分析判断的威胁事件数量。

• 受影响设备/用户：遭受威胁的终端设备/用户数量，可切换 “待研判”/“全部” 查看不同维度数据。

（二）时间范围切换

在模块右上角，通过 “今天”“昨天”“近 7 天”“近 30 天”“自定义” 按钮，可切换统计的时间范围，数据会随时间范围实时更新，并支持自定义数据刷新间隔。

二、威胁攻击趋势与事件分布查看

（一）威胁攻击趋势

左侧 “威胁攻击趋势” 以时间轴 + 风险等级折线图形式，展示不同日期、不同风险等级（严重、高风险、中风险、低风险）的威胁事件数量变化。可通过图例颜色区分风险等级，直观感知威胁的时间分布与风险变化规律。

（二）事件分布

右侧 “事件分布” 以环形图展示不同 “事件类型” 的数量占比（如程序运行保护、注册表保护等）。点击 “研判状态” 标签，可切换为按 “研判状态”（如未研判、已研判等）分布的视图，快速掌握事件类型或研判状态的构成情况。

三、威胁事件列表模块介绍

“威胁事件列表” 模块用于集中呈现终端检测到的安全威胁事件，支持查询、批量操作及单事件详情查看与研判，助力安全人员高效掌握终端安全态势并处置威胁。

1. 查询与筛选

可通过事件名称 / 事件描述 / 威胁实体输入框、严重等级/事件类型/ATT&CK技战术/事件状态/账户名下拉框，结合时间范围选择器（默认展示近 7 天事件）组合设置筛选条件；点击「查询」执行筛选，点击「重置」清空所有筛选条件。

2. 批量操作

勾选 “跨页全选” 或指定事件后，可点击「批量研判」对多选事件统一分析，或点击「导出」将事件列表导出为本地文件，提升多事件处理效率。

3. 事件信息展示

列表通过多字段展示事件核心信息：

• 基础与风险类：发现时间（事件检测时间）、严重等级（高 / 中风险等，标识威胁严重程度）、事件名称（如 “恶意进程执行行为”）、事件描述（说明威胁行为详情，如 “恶意程序执行已拦截”）。

• 防护与攻击关联类：事件类型（对应防护场景，如 “程序运行保护”“注册表保护”）、威胁实体（涉及的文件路径等威胁载体）、ATT&CK技战术（关联 MITRE ATT&CK 攻击技战术编号，如 TA0002，辅助分析攻击手法）。

• 影响与处置状态类：发生次数（事件出现频次）、受影响终端（终端名称 + IP）、所属用户（事件关联用户）、事件状态（如 “自动拦截”，展示威胁处置结果）、研判状态（如 “未研判”，标识事件分析进度）。

4. 单事件操作

“操作” 列支持点击「详情」查看事件更细致的上下文信息，或点击「研判」进行单事件的研判分析、处置决策等操作。

四、威胁事件详情

用于展示单条威胁事件的完整信息，助力安全人员深入分析威胁行为、溯源攻击路径并开展研判工作。

1. 威胁详情

“威胁事件详情” 页面可展示单条威胁事件的完整信息，包括事件风险等级、处置与研判状态、受影响终端、所属用户，还能呈现攻击过程中 “发起者 - 目标” 进程的交互细节（如进程路径、MD5、签名有效性等），并关联 ATT&CK 技战术，助力安全人员快速掌握威胁全貌、开展研判分析。

2. 威胁溯源

可视化展示当前威胁事件的风险进程链及威胁根因节点。

3. 研判日志

基于时间线倒序呈现威胁事件的研判日志。