01
EDR基础概念
什么是EDR · 与防病毒区别 · 核心能力:记录、检测、响应、取证
概念核心能力
02
事件溯源基础
事件溯源 · Windows日志(Security/System/Application) · Linux syslog/auditd
日志syslog
03
进程与网络行为分析
进程创建/终止 · 网络连接 · DNS/HTTP · 文件操作监控
进程网络
04
注册表与计划任务
注册表Run/RunOnce/Services · 计划任务 · WMI持久化
持久化WMI
05
内存与文件取证
内存转储 · 进程内存提取 · 文件哈希/YARA规则
取证YARA
06
攻击链与杀伤链模型
Lockheed Martin杀伤链 · MITRE ATT&CK · 告警关联
威胁模型ATT&CK
07
常见恶意软件行为模式
勒索软件 · 挖矿木马 · RAT · 无文件攻击
恶意软件行为
08
数据收集与日志管理
EDR代理部署 · 日志范围/存储/加密传输
日志管理部署
09
告警规则与检测策略
签名/行为/异常检测 · 阈值与误报控制
检测规则
10
事件调查流程
接收分类 · 初步分析 · 深入溯源 · 报告复盘
流程调查
11
时间线分析
时间线构建 · 关键点标记 · 因果分析 · 可视化工具
时间线可视化
12
受害者主机分析
主机信息 · 用户登录 · 进程服务 · 网络端口
主机取证
13
横向移动检测
RDP/SMB · PsExec/WMI · Kerberos票据 · 哈希传递
横向移动PTH
14
数据外泄检测
大文件传输 · 压缩加密 · 外部设备 · 云存储/邮件
外泄DLP
15
权限提升检测
UAC绕过 · 令牌窃取 · 服务漏洞 · 内核利用
提权UAC
16
持久化机制检测
启动项/文件夹 · 服务/驱动 · COM/DLL劫持 · Bootkit/Rootkit
持久化Rootkit
17
Web攻击溯源
Web日志分析 · SQL注入 · XSS/CSRF · Webshell溯源
Web溯源
18
邮件攻击溯源
钓鱼分析 · 恶意附件 · 邮件头 · 转发规则滥用
邮件钓鱼
19
供应链攻击溯源
软件更新劫持 · 第三方投毒 · 开发环境 · CI/CD攻击
供应链CI/CD
20
内部威胁检测
异常登录 · 非工作时间 · 批量下载 · 权限滥用
内部威胁UEBA
21
云环境EDR应用
云工作负载 · 容器安全 · Serverless · API审计
云安全容器
22
EDR与SIEM集成
日志转发 · 告警富化 · 自动化剧本 · SOAR
SIEMSOAR
23
威胁狩猎基础
威胁狩猎概念 · 假设构建 · 数据源 · 工具平台
狩猎假设
24
狩猎场景实战
异常进程链 · 网络连接 · 注册表 · 计划任务狩猎
实战狩猎
25
取证报告撰写
报告结构 · 证据链 · 时间线呈现 · 结论建议
报告规范
26
法律与合规要求
电子证据 · GDPR/网络安全法 · 取证链 · 合规报告
法律合规
27
EDR产品对比
CrowdStrike · SentinelOne · Defender · Carbon Black · Sysmon+ELK
产品对比
28
EDR部署与运维
代理部署 · 性能评估 · 规则更新 · 应急响应预案
运维部署
29
实战案例一:勒索软件攻击全流程溯源
从初始入侵到勒索解密,完整溯源链与EDR告警分析
实战勒索
30
实战案例二:APT组织长期潜伏与数据窃取溯源
APT攻击链、持久化、横向移动及数据外泄完整溯源
APT溯源