Новая техника скрытого извлечения данных из реестра: анализ и рекомендации по защите / Comments / Habr

Что-то мне подсказывает, что передача всех логов в SIEM для конечного хоста будет менее трудоёмко, чем обработка таких правил (это ведь только одно из 1000 правил описано) на хосте агентом EDR (по утилизации CPU например при обработке всех этих правил). А если пересчитать на 1000 хостов, сколько будет сэкономлено процессорного времени?

Хотя по данной схеме при автономном режиме хоста вмешаться будет мгновенно нельзя, чтобы предотвратить.