每次網絡攻擊看起來都比以前更加復雜，因此安全團隊會讓我們相信。一般而言，違反行為可能很復雜，但是只有當您嘗試重建攻擊的故事時，這種復雜性才會顯現出來，并且這種情況或故事情節很重要。這些復雜的故事情節通常始于公司系統的端點。

端點是員工可能在停車場發現USB設備的地方，他們好奇地知道其中有什么。或者，某個員工打開了一封電子郵件中收到的惡意PDF附件。可以看一下發生大量攻擊的端點以獲取可見性。端點是可用的網絡和進程活動，甚至可以在其中進行外部設備監視。舉例來說，是誰插入了那個USB，何時何地插入USB？

通過使用EPP（端點保護平臺），我們比以往有了更多的攻擊可見性：依靠病毒簽名但完全不了解基于內存的惡意軟件，橫向移動，無文件惡意軟件或零日攻擊的產品。

但這就是問題所在：EPP可以保護端點，但不能使組織看到威脅。第一代EDR（端點檢測和響應）工具是對EPP根本不提供的可見性需求的副產品。另一方面，這一代EDR（我們稱為被動EDR）為我們提供了數據，但沒有上下文。我們有難題的碎片，但沒有整體圖可以將它們融合在一起。

CISO的想法并不是對攻擊中每一個斷開的斷開數據的渴望。相反，它更像是一個線索游戲：客廳里的芥末上校嗎？有USB驅動器的承包商？國家贊助的威脅組織？威脅是否已緩解？如果已緩解，威脅持續了多長時間？哪些SOC的極少數分析師正在分析從其被動EDR涌入的數據海嘯？

什么是行為AI，它如何提供幫助？

襲擊后會發生什么？故事有兩種方式，最有可能是您熟悉第一種嚴重問題的方式：即安全分析師必須篩選被動EDR產生的所有警報和異常。這些調查需要時間和技巧：鑒于發現，訓練和留住具備操作安全平臺專業知識的人員以及將小麥與谷殼分離的專業知識，從谷殼中分離出的真正剝削知識的人員非常困難，這是一種稀有商品。隨機的錯誤。