EDR на Linux реально в подвешенном состоянии, потому что весь админский трафик и атаки смешались в одну кучу. LotL — это вообще катастрофа, ведь всё происходит через обычные бинарники и утилиты, которые не отличаются от легитимных. В итоге получается, что обычные методы детекта почти не работают, а правильный контекст часто теряется в шуме. Вот и остаётся только ловить аномалии и пытаться кореллировать данные.