什么 这是一种混合解决方案，将灵活的主机IDS与基于检测的事件响应功能结合在一起。 该检测引擎建立在以前开发的规则引擎基础上， 专门设计用于将Windows事件与用户定义的规则进行匹配。 为什么 提供类似开源EDR的工具 灵活的检测 易于与其他开源工具（MISP，Hive ...）集成 怎么样 侦测 主机实时检测 侦听Windows事件日志通道并应用检测规则 用户定义的规则（我们知道为什么我们检测到某些东西） 设计用于MS 丰富Windows事件，以构建功能强大的检测原语 中央代理分发规则并