什么 这是一种混合解决方案,将灵活的主机IDS与基于检测的事件响应功能结合在一起。 该检测引擎建立在以前开发的规则引擎基础上, 专门设计用于将Windows事件与用户定义的规则进行匹配。 为什么 提供类似开源EDR的工具 灵活的检测 易于与其他开源工具(MISP,Hive ...)集成 怎么样 侦测 主机实时检测 侦听Windows事件日志通道并应用检测规则 用户定义的规则(我们知道为什么我们检测到某些东西) 设计用于MS 丰富Windows事件,以构建功能强大的检测原语 中央代理分发规则并收集警报 事件响应 对检测做出React(当检测到超过给定临界值的事件时,将收集伪像) 实时证据收