当企业部署 EDR 之后，真正的挑战往往不是“能否发现告警”，而是如何高效完成分析、处置与沉淀。联软科技通过赤兔为联软 EDR 引入 AI 辅助能力，让 EDR 在保留专业检测与响应能力的同时，进一步拥有更全面的安全运营能力和更便捷的使用体验，推动终端安全运营从“看见告警”走向“AI驱动闭环”。

在终端安全建设持续深化的今天，越来越多企业已经部署 EDR，希望借助终端检测与响应能力提升整体安全防护水平。但在实际运营中，客户关注的早已不只是“能不能看到告警”，而是面对海量告警和复杂攻击行为时，能否更高效地完成分析、处置和输出，真正把 EDR 用好、用深、用出价值。

基于这一需求，联软科技通过 AI 辅助能力进一步增强联软 EDR，推动产品从“看见告警”走向更全面的安全运营能力和更便捷的使用体验。 

AI+EDR，让安全运营真正形成闭环

这里所说的 AI 辅助能力，由联软科技推出的“赤兔”承载实现。赤兔可通过接入大模型、MCP 服务以及专业 Skills，与联软 EDR 的检测、调查和处置能力协同工作。对于客户而言，加持赤兔的联软EDR因此获得了更完整的运营支撑能力。

 联软赤兔

联软赤兔是联软科技推出的企业级 AI 智能工作助手，覆盖研发、产品、运营、销售、售前、售后等多类业务场景，能够辅助企业完成文档生成、方案整理、知识沉淀、客户支持、交付材料输出及可视化内容创作，帮助客户提升协同效率、标准化水平与交付质量，加快推动智能化办公与业务运营落地。 

过去，EDR 的价值主要集中在终端告警发现、行为记录和响应处置入口上。它可以帮助客户看到终端上发生了什么，也能够提供必要的处置手段。但在真实运营过程中，安全人员往往还要手动筛选重点告警、串联攻击线索、理解攻击路径、判断处置优先级，并在处置完成后再整理分析报告。也就是说，EDR 有能力，但运营过程仍然较为依赖人工经验和多步骤操作。

在 AI 辅助下，联软 EDR 的能力边界将被进一步打开。围绕告警查询、事件分析、处置联动和报告输出，联软 EDR 形成了一条更完整的运营闭环。面对复杂告警，系统不仅能展示检测结果，还能辅助运营人员结合上下文信息理解告警内容，快速识别其中涉及的钓鱼、勒索等攻击行为，帮助更快梳理攻击链和风险重点。

这意味着，联软 EDR 从“发现威胁”进一步走向“辅助理解威胁”。原本分散的安全信号，可以在 AI 辅助下被更高效地关联起来，让告警不再只是告警，而是变成可分析、可判断、可行动的运营线索。

除了研判能力的提升，联软 EDR 在 AI 辅助下也实现了更顺畅的处置联动。借助相关能力，系统可以对指定终端执行网络隔离，也可根据规则 ID 取消网络隔离，还能够结合处置场景联动执行文件隔离、切断网络连接、终止恶意进程等操作，并对风险状态进行更新。这让安全运营不再停留在“看见问题、讨论问题”，而是能够进一步走向“推动问题处理”，缩短从发现风险到执行响应之间的路径。

与此同时，联软 EDR 在 AI 辅助下还带来了更高效的成果输出能力。通过自然语言交互，根据用户需要生成各种格式的 EDR 告警报告，内容涵盖整体概况、重大安全威胁分析、PowerShell 攻击活动、持久化分析、威胁类型分布、攻击时间线分析、ATT&CK 战术映射、风险总结与处置建议、需要关注的告警 ID 以及总结等章节。对安全团队而言，这意味着运营结果不仅能被看到、被处置，还能被进一步整理为标准化的分析成果。

▲联软EDR告警周报（部分截取）

更便捷的使用体验

更重要的是，AI 辅助也让联软 EDR 的使用体验变得更加便捷。过去，面对复杂安全事件，用户往往需要在多个页面之间来回切换，手动检索告警、查看设备、查找线索、执行动作，再分别整理结论。现在，很多操作可以通过更自然的方式来完成。用户只需提出明确需求，系统即可调用相应能力完成辅助处理，让 EDR 的检测、分析、处置和输出能力被更高效地使用起来。

从产品价值来看，AI 辅助带给联软 EDR 的，不只是一个新的交互入口，而是两方面的同步提升：一方面，让 EDR 拥有更全面的安全运营能力；另一方面，让这些能力以更便捷的方式被客户使用起来。

这样的联软 EDR，不仅能够看见威胁，还能够更快理解威胁、更顺畅推动处置、更高效完成总结；不仅提供终端安全能力，也开始提供更贴近真实场景的运营支撑能力。

从“看见告警”到“AI驱动闭环”，联软科技正在推动联软 EDR 向更智能、更高效、更易用的方向持续演进，为企业安全团队带来更具实战价值的终端安全运营新体验。