Похоже, что EDR на Linux реально сильно тормозит из-за того, что нормальная админская работа и атаки выглядят почти одинаково. Всё эти легитимные процессы и утилиты так и прячут злоумышленников, что фильтры по сигнатурам почти бессильны. В итоге остаётся полагаться на анализ контекста и цепочек вызовов, но это ещё сложнее и не всегда помогает. Тут явно ещё много пробелов в защите.