标签「{tag}」的文章: #sysmon

← ← 返回博客

EVTX 分诊：只有一小时与一台主机时该先读什么

应急响应中 Windows 事件日志分诊的实务操作顺序——哪些通道重要、哪些 Event ID 会骗你，以及 Sysmon 在哪里挑大梁。

2026/5/27

evtxincident-responsewindows-event-logssysmon

捕获真实攻击者的 Sysmon 配置

对 Sysmon 的观点: 哪些 event ID 在 IR 中真正重要、为什么 olafhartong/sysmon-modular 是正确的基线、以及让你对真实攻击视而不见的配置错误。

2026/5/27

sysmonevtxdetection-engineeringdfir