在山石网科 Open XDR 框架中，EDR 为威胁分析提供了核心支撑。

一、夯实安全运营基础

EDR 作为部署于终端的核心监测单元，凭借全维度资产测绘、动态数据同步、风险智能关联三大能力，打造全方位的立体资产视图，为安全运营稳固根基。

• 全维度资产测绘：以内核级探针为依托，全面清点终端的硬件、软件、网络、账户等指纹信息，精准确定终端唯一标识，确保安全运营分析精准聚焦，避免方向偏差；

• 动态数据同步：实时更新终端资产信息，精准把握终端变更细节。相较于传统资产扫描工具，其效率数倍提升，为安全运营分析提供坚实可靠、动态鲜活的数据凭证；

• 风险智能关联：将终端存在的漏洞、配置、网络等各类风险信息智能关联，实现风险的提前洞察与及时修复，助力安全运营具备前瞻性，有效防范潜在威胁。

二、驱动深度威胁分析

EDR 从终端层面深度采集并记录进程创建、文件读写、网络连接、注册表变更等丰富行为信息，基于 ATT&CK 技术框架完成对攻击过程的还原，并将浓缩的威胁事件与 Open XDR 运营体系进行深度融合。在 Open XDR 运营框架下，终端侧的精细化数据与其他来源的数据形成互补态势，有效打破数据孤岛壁垒。

通过智能分析与关联计算，EDR 一旦捕捉到木马持久化、异常信息收集等可疑行为，能够第一时间触发告警机制，为 Open XDR 运营提供关键威胁线索。与此同时，Open XDR 运营体系从全局视角进行整合分析，依托 EDR  提供的终端层面详细信息，对威胁完成快速定位与精准响应，及时启动相应防护措施。这种协同分析使安全运营更高效化、智能化。

三、贯彻联动相应闭环

EDR 不仅是威胁检测的 “前哨站”，更是安全运营闭环的关键执行单元。通过与 Open XDR 平台的深度联动，形成自动化闭环体系，实现威胁处置的全流程管控。

基于 Open XDR 平台的全局决策，EDR 可实时同步安全策略，如访问控制、结束进程、病毒查杀等动作，实现精确到终端资产的细粒度管控。例如在部分场景下，Open XDR 平台针对高风险终端可一键下发断网隔离，先快速控制风险影响，然后精确排查定位。

山石网科 EDR 以卓越的深度威胁检测与溯源能力，为 Open XDR 安全运营筑牢终端安全防线，精准覆盖威胁发现的“最后一公里”。随着AI技术的持续深度应用，山石网科将不断强化 Open XDR 端点侧的安全能力，实现安全事件信息的高度浓缩与精准化处理，以更高效的智慧运维解决方案，推动企业安全运营智能化转型。