指标移除
对手可能会删除或修改系统内生成的工件,以消除其存在的证据或阻碍防御。各种工件可能由对手创建或可以归因于对手的行为。通常,这些工件用作与监控事件相关的防御指标,例如从下载文件、用户操作生成的日志和防御者分析的其他数据。工件的位置、格式和类型(例如命令或登录历史记录)通常特定于每个平台。 删除这些指标可能会干扰事件收集、报告或用于检测入侵活动的其他过程。这可能会通过导致显著事件未报告来损害安全解决方案的完整性。由于缺乏足够的数据来确定发生了什么,这种活动还可能阻碍取证分析和事件响应。
对手可能会删除或修改系统内生成的工件,以消除其存在的证据或阻碍防御。各种工件可能由对手创建或可以归因于对手的行为。通常,这些工件用作与监控事件相关的防御指标,例如从下载文件、用户操作生成的日志和防御者分析的其他数据。工件的位置、格式和类型(例如命令或登录历史记录)通常特定于每个平台。 删除这些指标可能会干扰事件收集、报告或用于检测入侵活动的其他过程。这可能会通过导致显著事件未报告来损害安全解决方案的完整性。由于缺乏足够的数据来确定发生了什么,这种活动还可能阻碍取证分析和事件响应。