Én talán amit ezekről naplóznék, az néhány mappa (TEMP, Windows teljes, vagy részbeni struktúrája, user saját mappája
Háát, a naplózás nem egészen így működik :)
Windows-on vannak Security logok, Applikációs logok, ezeket 'szokás' gyűjteni. Ezeken belül lehet még severity-re szűrni, de: ha tovább megyünk, akkor már kell valami extra pl sysmon, ami audit szerű megoldást kínál, de az is fel kell tudni konfigurálni rendesen, hogy érjen valamit.
És akkor jöhet a számolgatás, hogy mindez mekkora EPS-t fog eredményezni.
2000 munkaállomásról ha csak a security eventeket gyűjtöd, az is lesz vagy 20K peak EPS. De ha audit eventeket is szeretnél (pl sysmon), akkor akár 200K is lehet! Ezt nem egyszerű (és főleg nem olcsó) sem 'bufferelni', de még gyűjteni sem. Ezért szokták csak az EDR, Defender filterezett és közponsotsított logjait gyűjteni, és nem direktben a kliensekről.
persze, ha ez (audit) kell, ezt is lehet, csak ahhoz már rendesen megtervezett gyűjtés kell, nem csak úgy puffneki küldjünk valamit a SIEM-be.
ilyenre az NXLog kiváló megoldás lehet, főleg ha már eleve használjátok.
illetve szokatlan tevékenységek
És azt ki dönti el, hogy mi a szokatlan??! - bármi is, azt már nevezhetjük EDR-nek ;)