继续分享复杂之眼如何检测威胁的一些技巧,之前上片文章讲过,复杂之眼安装到客户机器上,看客户机器跑了什么软件和业务,根据终端机器业务就决定了产生遥测数据量,比如复杂之眼安装到我个人pc机器产生的遥测数据明显少于一些业务机器,组织机构下的终端整数形成了一个全网网络,需要通过复杂之眼收集到的遥测数据思维去排查全网网络安全情况。
继续分享一些复杂之眼的用法,检测本机操作还是有攻击行为,通过islocal字段,ture是本机操作,false就是攻击行为,毕竟用户是不会去触发恶意行为,但是本机操作也会产生行为。