标签「{tag}」的文章: #threat-hunting

真实对手工具如何在 Windows 环境中跨主机移动，以及在 Security.evtx 中能抓住 PsExec、Impacket 与 WMIExec 的精确 Event ID 组合。

PowerShell module logging、script block logging、transcripts 和 AMSI buffers 之间的实际差异，以及真正开启有用项的 GPO 设置。

对 Sysmon 的观点: 哪些 event ID 在 IR 中真正重要、为什么 olafhartong/sysmon-modular 是正确的基线、以及让你对真实攻击视而不见的配置错误。