xbn1873942785的博客

1.什么时EDR:完全不同以往的端点被防护思路，而是通过云端威胁情报，机器学习，异常行为分析，攻击指示器等方式，主动发现来自外部或内部的安全威胁。并进行自动化的阻止，取证，补救和溯源从而有效对端点进行防护。EDR的四种能力：1.预测：风险评估，预测威胁，基线安全态势2.防护：强化系统，隔离系统，防止攻击。3.检测：检测事件，确认风险并确定优先顺序，包含事件。4.响应：补救、设计规则变更，调查事件**2.EDR如何工作**1) 检测：一旦安装EDR技术，它就会使用先进算法来分析系统上单

1.应急响应概念：通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。应急响应基本流程：总体来说：表现—>收集—>攻击—>追查—>修复：表现：（发现异常）1. 网站部分：篡改、丢失乱码2. 文件部分：丢失、篡改、泄露3. 系统部分：系统卡顿、CPU爆满、服务宕机4. 流量部分：大量数据包、陌生外部连接、网速网络卡顿5. 第三方服务部分：服务异常、运行异常收集：（收集信息）1. 操作系统：linux、windows、mac2.

正则表达式语法：正则表达式(regular expression)描述了一种字符串匹配的模式（pattern），可以用来检查一个串是否含有某种子串、将匹配的子串替换或者从某个串中取出符合某个条件的子串等。1.非打印字符非打印字符也可以是正则表达式的组成部分。下表列出了表示非打印字符的转义序列：\cx 匹配由x指明的控制字符。例如， \cM 匹配一个 Control-M 或回车符。x 的值必须为 A-Z 或 a-z 之一。否则，将 c 视为一个原义的 ‘c’ 字符。\f 匹配一个换页符。等价于 \x

**sed：全名叫 stream editor即流编辑器， 与 vim 的交互式编辑方式截然不同，作为一种非交互式编辑器，sed使用预先设定好的编辑指令对输入的文本进行编辑，完成之后输出编辑结果。其功能十分强大，加上正则表达式的支持，可以进行大量的复杂文本的编辑操作。默认不支持扩展表达式，加-r 选项开启 ERE。如果不加-r 使用花括号要加转义符{}　　说明： 注意sed软件以及后面选项，sed命令和输入文件，每个元素之间都至少有一个空格。　sed -commands(sed命令)是sed软件