"不被人注意的事物，非但不是什么阻碍，反而是一种线索。解决此类问题时，主要运用推理方法，一层层往回推"—— 福尔摩斯式的推理哲学，在数字世界的安全攻防中同样行之有效。在网络安全领域，当企业终端出现进程异常、文件篡改痕迹或可疑网络连接时，这些常被忽视的 "数字细节"，恰如犯罪现场的脚印与指纹，默默记录着攻击的真实轨迹。

面对数据泄露、服务中断等安全事件，企业需要像侦探一样抽丝剥茧，探寻攻击者如何突破防线？后续又进行了哪些操作？瑞星 EDR（终端威胁检测与响应系统）的 "全链路追踪溯源" 功能，将推理哲学转化为技术能力 —— 采集终端系统进程、文件、网络活动等多维度数据，通过智能分析识别异常行为，逆向追溯串联攻击链条，完整还原从初始入侵到最终目标的达成路径。

这一技术可以助力企业跳出 "单点防御"，以系统化视角挖掘威胁源头，为精准阻断攻击、构建主动防御体系提供关键支持。

一、抽茧式挖掘线索，靠 AI 主动御敌

传统安全防护多在发现威胁后进行简单拦截，难以深挖威胁根源与潜在风险。瑞星 EDR 则通过多维度采集终端系统进程、文件等活动信息，为分析提供丰富数据。借助 AI 智能分析，精准识别异常行为和潜在威胁，利用可视化攻击链还原技术，直观呈现攻击过程、剖析攻击路径，实现从 "被动防御" 到 "主动狩猎" 的转变，做到标本兼治。

二、手把手教您如何使用 EDR 追踪溯源

1.基于 ATT&CK 框架：精准锁定威胁 "真面目"

瑞星 EDR 基于 ATT&CK 框架对网内威胁精准分类。在分析中心的 ATT&CK 矩阵模块里，就像是打开了一本威胁 "百科全书"，您可以轻松查看攻击维度和受影响主机数，获取威胁详情，助力制定安全策略。

1 ) 进入瑞星 EDR 产品主界面，找到 "安全威胁" 选项，点击 "ATT&CK 矩阵"，可看到威胁汇总及相关数据。

2 ) 点击矩阵中的攻击类型，查看简介。点击 "事件数" 和 "影响终端数"，跳转至威胁详情页面，深入了解威胁。

2.一键呈现攻击链条：多视角洞察攻击 "剧本"

瑞星 EDR 拥有神奇的自动梳理能力，能自动勾勒出从初始入侵到最终目标的完整攻击链条，让攻击者的行动路线清晰可见，同时还提供关系网、时间轴、3D 可视化等多种视角，就像拥有了 "透视镜"，助您从各个角度洞察攻击 "剧本"。

1 ) 进入瑞星 EDR 产品主界面，点击 "威胁调查"。在列表中找到要追踪的事件，点击 "详情" 查看具体信息。

2 ) 点击 "分析调查"，对事件可视化展示。在事件节点右键选择 "智能追踪"，展示全部处理链条。

3 ) 在 "智能追踪" 界面，可以选择关系网、时间轴、3D 三种不同的展示威胁链条形式，以满足不同溯源需求。

3.智能溯源：自然语言交互，让威胁无处遁形

瑞星 EDR 集成了强大的 RGPT 技术，带来全新的智能溯源体验。有了它，即使您不是网络安全专家，也能轻松应对复杂的网络威胁。

1 ) 点击 "EDR 助手" 进入 AI 助手交互界面。

2 ) 向 AI 助手发送指令，如 "帮我检索最近三天的告警"，AI 助手生成跳转按钮，点击获取结果。

3 ) 若要在威胁调查中检索告警，发送 "让我在威胁调查中检索这些告警"，点击 AI 助手生成的跳转按钮，获取检索结果。

4 ) 点击界面右上角 "日志分析"，再点击 "刷新"，AI 助手对威胁事件研判，给出威胁原因、影响及防范建议。

4.自定义威胁狩猎规则：定制专属安全策略，掌控网络安全主动权

考虑企业差异，瑞星 EDR 提供了高度开放的策略配置能力，让企业可以定制专属的安全策略，掌控网络安全的主动权。

1 ) 点击 "安全运营 ——IOC 录入"，点击 "新增 IOC 按钮"，添加 MD5 值、IP 地址等作为判断依据，点击 "确定"，系统会据此判断威胁。

2 ) 点击 "安全运营 —— 威胁狩猎"，查看现有判断条件和依据。

3 ) 点击威胁狩猎页面右上角 "新增按钮"，输入自定义依据并 "新增"，生成新规则，用于判断新事件或历史事件是否为威胁。

瑞星 EDR 的全链路追踪溯源功能，凭借一系列创新技术和强大的功能模块，为企业构建起全面、高效、精准的网络安全防护体系。无论是应对复杂多变的网络攻击，还是满足企业个性化的安全需求，它都能发挥重要作用，成为企业网络安全防护的得力助手。