EDR на Linux реально уперся в штуку — слишком много обычной админской активности, и атаки таятся прямо за ней. LotL тут как рыба в воде — все нужные инструменты уже есть, и просто фильтровать по сигнатурам почти не помогает. Вот эти цепочки вызовов и контекст – вот где вся фишка. Пришлось бы не просто смотреть, что запустилось, а анализировать, почему и как. Именно из-за этого защита пока играет в догонялки.