检测本机操作还是有攻击行为

文章预览

继续分享复杂之眼如何检测威胁的一些技巧，之前上片文章讲过，复杂之眼安装到客户机器上，看客户机器跑了什么软件和业务，根据终端机器业务就决定了产生遥测数据量，比如复杂之眼安装到我个人pc机器产生的遥测数据明显少于一些业务机器，组织机构下的终端整数形成了一个全网网络，需要通过复杂之眼收集到的遥测数据思维去排查全网网络安全情况。 继续分享一些复杂之眼的用法， 检测本机操作还是有攻击行为，通过islocal字段，ture是本机操作，false就是攻击行为，毕竟用户是不会去触发恶意行为，但是本机操作也会产生行为。 ………………………………