#AMSI

PowerShell 4104 事件能证明什么，不能证明什么

基于 Windows 测试机实测，拆解 PowerShell Script Block Logging 的证据价值、缺口和进入 SIEM 前的治理基线。