当20年专家经验被“装”进 AI,联软EDR专属智能体来了!
终端安全运营的“奇点”:当 20 年的专家经验被“装”进 AI,联软 EDR 专属智能体来了
(摘要):告别“人工巡检持久战”。这次,我们把联软专家的“大脑”和经验装进AI SOC平台,打造了一个 7×24 小时高效运行的 AI 队友——联软EDR专属智能体·嘲风。
做安全运营(SOC)的兄弟们,不管是甲方的还是乙方的,估计都有过这种 “既痛苦又幸福” 的时刻:
幸福的是,你上了 联软(UniEDR)。作为国内终端安全的领军者,联软的技术底蕴那是没得说——看得准、抓得牢、覆盖广,勒索银狐一抓一个准。
痛苦的是,告警是真的多,也是真的看不过来。
每天面对成百上千条告警,你得一条条查进程链、查哈希、查父子关系。这就好比你请了一位视力极好的神探,他极其负责地把所有线索都扔到了你桌上,但最后还得你自己去拼图、去抓人。
我们一直在想:能不能把联软最顶级的安全专家,直接“克隆”一个给你?
于是,联软科技 联手 雾帜智能,搞了一件打破行业天花板的事——发布“联软 EDR 专属智能体·嘲风”。
联合解决方案技术架构.PNG
这不是一次简单的 API 接口对接,这是 “顶级专家经验(联软)”与“顶级 AI 运营底座(雾帜智能AI SOC)” 的一次灵魂共振。
01 这个智能体,是有“灵魂”的(联软的独家秘笈)
市面上很多所谓的“AI 安全助手”,充其量是个外挂的聊天机器人。你问它“勒索病毒怎么杀”,它给你背诵百度百科。
但 “联软 EDR 专属智能体” 不一样,它是个 “练家子”。
它的“灵魂”里,刻着联软科技 20 年 在终端安全领域的深厚功力。我们把联软安全专家的实战经验、丰富的攻防知识库以及对桌面安全事件的处置逻辑,全部注入到一个独立的 RAG(检索增强生成)知识库中。
它到底强在哪?
它懂联软的“黑话”: 它天生理解什么是 process_chain(进程链),知道怎么用联软特有的 str_agent_id 把碎片化线索串起来。它不需要你解释数据结构,它一看日志就知道:“哦,这是典型的父进程异常。”
它有专家的“直觉”: 依靠专属 RAG 知识库,它能复刻联软专家的研判逻辑。当它看到一个 PowerShell 行为时,它不是通用大模型在“瞎猜”,而是基于联软 20 年沉淀的数据在“思考”。
智能体工作原理.PNG
换句话说,这不仅仅是一个 Agent,这是联软把最资深的那个专家,派到了你的屏幕里。
02 雾帜智能AI SOC:不仅仅是平台,更是“超级道场”
好马配好鞍,良将需良才。要让这样一位“AI 专家”跑起来,需要一个强大的底座。
这就是 雾帜智能(AI SOC) 的角色。
作为从 2019 年 就开始死磕 AI + SOAR(自动化响应) 的技术流公司,雾帜智能一直在探索怎么让安全运营自动化、智能化。
在全新的 雾帜智能AI SOC平台 上,通过 “虚拟团队” 技术,为联软打造了一个能够持续运行、灵活定制的专属空间:
开放与兼容: 雾帜智能AI SOC 就像一个开放的“超级道场”。今天,联软的专家智能体在这里大显身手;明天,防火墙、威胁情报等其他厂商的能力也能无缝接入。
深度定制: 在这个平台上,不仅能配置知识库,还能通过 MCP(Model Context Protocol) 绑定工具,甚至精细到设置每一个 Agent 的访问权限。
AI SOC后台MCP SERVER配置界面
这是一个三方共赢的全新局面: 雾帜提供了最先进的 AI 运营土壤,联软种下了最优质的专家经验种子,而客户,收获了 “自动化闭环” 的果实。
03 拒绝“纸上谈兵”:它是带着“枪”干活的
有了联软的“大脑”(RAG)和雾帜的“底座”(Platform),这个智能体还需要一双“手”。
通过 MCP Server 的深度构建,这个智能体不再是只会给建议的“嘴炮”,它是能直接下场干活的:
想查详情? 它直接调用 query_threat_by_id,秒级拉取联软 EDR 的深层数据。
发现勒索? 不需要你去控制台点点点,它能直接调用 block_single_file_md5 下发阻断策略,或者直接隔离主机。
MCP工具组合完成研判分析
来看一个真实的“秒杀”现场:
1.告警触发: 联软 EDR 发现一个可疑的 PowerShell 脚本正在下载未知文件。
2.AI 介入: 雾帜智能AI SOC 平台上的“联软专属智能体”瞬间被唤醒。
3.专家研判: 智能体结合 RAG 知识库,分析进程链,判定这是典型的横向移动尝试(ATT&CK T1021)。
4.可视化呈现: 哪怕你是新手,看到智能体自动画出的 “攻击时间线” 和 “资产关系图”,也能一秒看懂攻击路径。
5.自动闭环: 经人工确认(甚至全自动),智能体直接指挥联软 EDR 查杀进程、封锁 IP。
智能体梳理的可视化元素关系图
从发现到深度研判和最终处置,以前人工需要 90 分钟,现在 AI 只需要 5~10 分钟。
04 运营的“奇点”已至
安全圈有句话:“未知的威胁最可怕,但处理不过来的已知威胁最憋屈。”
联软科技与雾帜智能的这次合作,就是为了终结这种“憋屈”。
这是一次深度的创新:我们用 雾帜智能AI SOC 的开放底座,承载了 联软 UniEDR 的极致经验。这不仅是一个产品功能的更新,更是开启了 “基于AI虚拟SOC团队与专属智能体” 的安全运营新玩法。
想看看你的 EDR 是如何“长出大脑”、自动干活的吗?
想体验这种“专家经验+ AI 底座”的丝滑运营吗?