该标签下有 1 篇文章
EDR 持续记录终端行为,检测可疑动向(偏 IOA),并进一步执行隔离、调查等响应。它用行为与时间线捕获以特征码/IOC 比对为主的传统 AV 会漏掉的无文件攻击和正规工具滥用。小规模环境往往并不需要完整 EDR,借助操作系统自带防护+日志+IOA 的思路即可获得大量价值。