Subodh057/crowdstrike-falcon-edr-investigation-study

# CrowdStrike Falcon EDR 调查研究 ## 概述 本仓库是一个基于截图的 CrowdStrike Falcon EDR 调查研究，专注于 SOC/蓝队学习。 该项目的主要目标是理解安全运营中心分析师在端点安全调查期间如何与 EDR 平台协作。这包括检测分类、基于严重性的优先级排序、进程树分析、哈希搜索、主机调查、网络活动审查、遏制决策以及检测生命周期管理。 本仓库组织为多个子项目，每个子项目专注于 CrowdStrike Falcon EDR 工作流程的一个部分。 ## 仓库目标 本仓库的目标是建立对 EDR 调查工作流程的实际理解，特别是从初级 SOC 分析师的视角出发。 该项目致力于回答以下问题： ``` What happened? Which endpoint was involved? Which user was involved? Which process triggered the detection? How severe is the alert? Is the activity suspicious or benign? What evidence supports the decision? Should the host be contained? What should the analyst do next? ```

标签：AMSI绕过, CrowdStrike Falcon EDR, ESC漏洞, SOC学习, 主机调查, 包含决策, 哈希搜索, 响应决策, 威胁检测, 安全分析师培训, 安全运营中心, 截图学习, 检测分诊, 端点检测与响应, 终端安全, 网络安全, 网络映射, 网络活动监控, 脱壳工具, 蓝队培训, 证据收集, 进程树分析, 隐私保护