該標籤下有 1 篇文章
EDR 持續記錄終端行為,偵測可疑動向(偏 IOA),並進一步執行隔離、調查等回應。它用行為與時間軸捕捉以特徵碼/IOC 比對為主的傳統 AV 會漏掉的無檔案攻擊和正規工具濫用。小規模環境往往並不需要完整 EDR,借助作業系統內建防護+紀錄+IOA 的思路即可獲得大量價值。