拦截指示器

攻击者可能试图拦截指示器或通常被传感器捕获的事件以避免被收集和分析。
这可能包括修改存储在配置文件和/或注册表项中的传感器设置，以禁用或恶意重定向事件遥测。

在基于网络的指示器报告的情况下，攻击者可能阻止与报告相关的流量以防止集中分析。
这可以通过许多方法来实现，例如停止负责转发遥测的本地进程和/或创建基于主机的防火墙规则，以阻止对负责聚合事件（如安全信息和事件管理 (SIEM) 产品）的特定主机的通信。

缓解

确保使用适当的权限和访问控制来保护事件记录器/转发器 、防火墙策略和其他相关机制。
考虑以重复的间隔（例如：temporal、on-logon 等）自动重启转发机制，以及适当地更改对防火墙规则和其他相关系统配置的管理。

检测

检测主机传感器报告的缺失。
不同的拦截方法可能会导致对报告有不同干扰。
系统可能突然停止报告所有数据或某些类型的数据。
根据收集的主机信息的类型，分析人员可能能够检测触发进程停止或要阻塞连接的事件。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn