终端入侵对抗：Sysmon还EDR？

文章预览

导语： 我最近与来自完全不同行业/领域的几个客户开展了研讨会，Sysmon + SIEM（安全信息和事件管理）检测规则 VS 商业EDR到底如何选择？这是一个反复出现的话题。 01 不选Sysmon的理由 首先，我在这里写的几乎所有内容都集中在或适用于企业环境、大规模部署和高预算。此处的观点不适用于家庭或学生实验室环境。它也不适用于被限制使用商业产品、主要依赖免费或开源软件的组织。 其次，它不适用于研究实验室或从业者用来体验Sysmon丰富日志信息的环境。 最后，我不是在讨论取证或任何事后使用案例（响应），而是在讨论如何利用Sysmon的日志信息来构建检测体系。 目标和视角 如果你要领导一个大企业的安全监控实践，拥有相对充足的资金和有限的人力资源，我相信更容易理解我的观点。 对于预算和合同都受限制的人来说，情况与拥有充足资 ………………………………