亚信安全终端检测与响应系统采用EDR技术，通过对操作系统行为高清记录和长期存储，对操作系统、应用软件和账号资产进行动态发现，根据威胁行为规则IOA和外部特征库IOC来对漏洞攻击和无文件攻击等高级威胁进行关联分析及检测，通过绘制进程事件树实现攻击可视化，对受害主机进行远程遏制和修复。

    攻击可视化：

     攻击可视化是指通过进程的关联关系，以进程事件树的方式将可疑进程的孵化关系、文件操作、注册表修改和网络行为绘制出来，帮助安全运维人员更加直观地分析恶意进程是如何运行起来的，做了哪些可疑操作，该恶意进程对应的文件是如何进入主机的，极大地提高了安全事件分析的效率。

    联动验伤功能：

     提供了开放的验伤API接口，能够从APT网络监控设备、态势感知平台和威胁感知运维平台接收验伤请求，根据安全事件的线索，以精密编排的方式对告警事件进行溯源分析，自动化提供验伤分析报告，降低了安全运维门槛，为快速响应治理提供依据。

    事件记录能力：

     从操作系统内核态记录“文件操作”、“进程事件”和“注册表操作”，从用户态采集“系统事件”，还通过DPI（深度报文解析）模块识别并记录超过1000种以上的网络协议及应用，并且对网络安全攻击最常使用的协议HTTP/SMB/SMTP/POP3/IMAP进行了加强型的记录。

    威胁溯源：

           根据病毒特征库检测到已知威胁，通过机器学习引擎和恶意行为监控引擎检测到未知威胁，并且对威胁进行隔离或者清除。EDR模块可以根据OfficeScan检测到的威胁线索（例如：文件名称路径、文件哈希、IP、域名、URL等）进行进程关联分析，溯源入侵渠道，帮助用户发现安全短板并进行加固，大幅提升用户的网络安全防护等级。

    IOA/IOC功能：

     基于行为规则IOA检测的威胁包括暴力密码破解攻击、WebShell攻击、提权攻击、漏洞攻击和无文件攻击等类型；基于外部威胁特征库IOC检测的威胁包括挖矿和勒索等热点安全事件，可以帮助用户进行自我有效排查。