企业动态

    本地部署日志量爆炸、缺少专业分析运营人员、服务器资源消耗大？近日，奇安信天擎EDR正式推出SaaS部署模式，云端能力按需调用，轻装上阵，低成本、高效率专业防护高级威胁。

    从本地重装到云端轻量：一场必然的进化

    长期以来，天擎EDR以强大的本地行为检测能力，成为众多政企机构抵御高级威胁的首选。然而，随着终端规模持续扩大、攻击手段不断演进，纯本地部署模式在实际应用中逐渐面临新的挑战。在持续服务客户的过程中，奇安信注意到三方面需求日益凸显：

    日志过载，响应迟缓：一个万台终端的环境，每天可产生4千万条原始行为日志、数千条告警。海量数据使安全团队难以高效聚焦真实威胁，影响整体响应速度。

    分析乏力，漏报风险高：EDR的价值依赖持续的威胁研判与主动狩猎。然而，多数单位受限于人力配置，难以实现7×24小时的专业化运营，导致新型攻击存在漏报风险。

    资源消耗大，运维负担重：传统本地部署模式下，EDR对服务器计算与存储资源要求较高，随着终端规模增长，资源开销持续攀升。越来越多的客户期望通过SaaS化EDR与天擎平台其他组件协同，在减轻本地资源压力的同时，实现一体化策略下发与统一终端态势感知，提升整体安全体系的运维效率。

    为更好满足这些演进中的安全需求，奇安信正式推出天擎EDR SaaS版——将EDR核心能力全面云化，并深度融入天擎SaaS平台，助力终端安全迈向"轻量、高效、可托管"的新阶段。

    天擎EDR SaaS：云端赋能，本地可控更安全

    天擎EDR SaaS并非简单将控制台搬到云端，而是一套"本地轻量采集+云端智能分析"的架构创新：

    1、管理面本地部署，数据面云端协同

    管理控制台依然部署在用户本地，系统内部网络拓扑、核心资产信息不暴露于公网，满足数据合规要求。云端仅按需调用行为检测、信誉查询等能力。

    2、"云端存、本地取"的行为库

    针对行为规则库体量大、更新频繁的痛点，SaaS版实现规则云端存储。终端仅在需要时请求特定规则，避免庞大规则库挤占本地硬盘，也保证了检测规则实时最新。

    3、毫秒级云端查询

    遇到本地引擎无法判别的未知文件，终端毫秒级向云端请求行为核查，依托奇安信海量文件信誉库快速判定风险。

    这种架构让用户既能享受云端无限算力与实时情报，又能牢牢掌握本地控制的主动权。

    从AI到MDR：全栈能力定义云端守护

    基于上述架构，天擎EDR SaaS化版本展现出六大差异化优势：

    1. AI驱动智能检测：化"告警洪水"为"精准决策"

    天擎EDR融合AI大模型，可实现TTPs级检测，威胁事件压缩比超99.9%；同时，威胁事件命名和描述更直观易懂，例如"银狐病毒通过白加黑劫持计划任务"，而非技术细节堆砌。

    2. 一键威胁溯源：分钟级生成专业报告

    当真实攻击发生时，时间就是一切。天擎EDR支持AI自动生成溯源报告，几分钟内即可获得包含攻击时间线、传播路径、受影响资产、攻击手法（TTPs）的完整分析。

    3. 海量行为情报：行业领先的文件信誉库

    奇安信是国内头部的云端文件鉴别厂商，拥有海量文件信誉数据库。检测不依赖单一文件哈希，而是基于文件可信度（信誉、行为、来源等多维特征）综合判定，精准识别未知威胁。

    4. 超低资源占用：终端用户完全无感

    常态化运行CPU占用＜0.1%，内存占用＜50M。即使在配置较低的老旧终端上，也能流畅运行，不影响业务效率。相比传统安全软件动辄数百兆内存占用，优势明显。

    5. 专业MDR服务：7×24小时安全托管

    提供7×24小时专业安全运营服务，从监测告警到清除恢复的全流程托管。企业无需自建高端安全团队，云端专家即可完成告警研判、事件追踪、响应处置。几万点终端，仅需极少量人力即可高效运营。

    6. 生态整合优势：与天擎平台深度统一

    作为天擎SaaS化组件之一，EDR与天擎杀毒、终端管控、漏洞管理等模块原生整合。支持分子企业部署模式，总部全局视角可见、可管、可控，无需在多套系统间切换。

    四大实战场景全覆盖，高级威胁无处遁形

    银狐钓鱼攻击：静态特征+动态行为追踪，精准识别动态变异银狐及伪装恶意文件

    无文件攻击：内存侦测+行为监测，检出PowerShell滥用、内存注入等攻击

    勒索攻击：深度行为检测+文件回滚兜底，防御 Lockbit 等主流勒索软件

    挖矿攻击：聚焦异常CPU占用与矿池通信，快速发现并阻断非法挖矿活动

    哪些组织最需要天擎EDR SaaS版？

    如果您所在的组织正面临以下挑战，那么天擎EDR SaaS版将是您的理想之选：

    安全人员不足的中大型企业：缺少7×24小时运营团队，需要MDR服务兜底。

    分支机构众多的集团客户：总部需要统一视角，管理各下属单位终端安全。

    饱受银狐、勒索困扰的机构：传统杀毒无法应对动态变异的攻击。

    对系统暴露面极度敏感的行业：如金融、政府、关键基础设施，要求管理平台不暴露于公网。

    从本地部署到SaaS化赋能，天擎EDR的演进不仅是架构的创新，更是安全运营模式的跃迁。它以更低的资源占用、更前沿的AI技术、更专业的托管服务，让每一家组织——无论规模大小、人力多寡——都能获得前沿、有效的高级威胁检测与响应能力。