继续分享复杂之眼如何检测威胁的一些技巧,之前上片文章讲过,复杂之眼安装到客户机器上,看客户机器跑了什么软件和业务,根据终端机器业务就决定了产生遥测数据量,比如复杂之眼安装到我个人pc机器产生的遥测数据明显少于一些业务机器,组织机构下的终端整数形成了一个全网网络,需要通过复杂之眼收集到的遥测数据思维去排查全网网络安全情况。
继续分享一些复杂之眼的用法,检测本机操作还是有攻击行为,通过islocal字段,ture是本机操作,false就是攻击行为,毕竟用户是不会去触发恶意行为,但是本机操作也会产生行为。
文章来源: https://mp.weixin.qq.com/s?__biz=MzU3NDY1NTYyOQ==&mid=2247485967&idx=1&sn=733966f3de4bc46a44e5850d1d7fce5e&chksm=fd2e57edca59defb8db262a03a5217cabd35c04ab9d80c4cd0d66ce7043edcfabb53445bfc09&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh