@CI
2年前 提问
1个回答
EDR代理都收集什么样的数据
Andrew
2年前
EDR代理都收集以下这些数据:
终端设备的基本元数据:包括CPU、内存、网卡(IP、MAC)、操作系统、安装软件、硬件数据、Device数据等。
网络数据:包括终端设备上的DNS和ARP表以及其它实时网络数据、开放的端口以及相关的进程数据、终端的网络连接数据、可访问终端的URL数据等。
运行时数据:包括终端上运行的进程/线程以及其对应的元数据、用户登录注销数据、进程间通信(IPC)数据、进程行为数据(例如数据读写)等。
存储数据:文件(通常只包含特定的文件或者可执行文件)以及文件元数据(比如文件名/大小/类型、校验和等)、文件变更信息、syslog、主引导记录(MBR)信息等。
其它数据:比如加载的DLL、激活的设备驱动程序、已加载的内核模块、CMD或者PowerShell历史命令等数据。