专栏首页鸿鹄实验室开源EDR whids部署

开源EDR whids部署

whids是一款Go语言开发的开源EDR,其官方地址为:

https://github.com/0xrawsec/whids

其优点如下:

  • Open Source
  • Relies on Sysmon for all the heavy lifting (kernel component)
  • Very powerful but also customizable detection engine
  • Built by an Incident Responder for all Incident Responders to make their job easier
  • Low footprint (no process injection)
  • Can co-exist with any antivirus product (advised to run it along with MS Defender)
  • Designed for high thoughput. It can easily enrich and analyse 4M events a day per endpoint without performance impact. Good luck to achieve that with a SIEM.
  • Easily integrable with other tools (Splunk, ELK, MISP ...)
  • Integrated with ATT&CK framework

官方给出的运行示意图如下:

部署过程

首先需要安装Sysmon,最新版本为13.1,下载地址为:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

使用-i安装既可

然后导入其配置,地址为:https://github.com/0xrawsec/whids/tree/master/tools/sysmon/v13

如有需要,可以配置下面的两个的选项:

 gpedit.msc -> Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\System Audit Policies\System\Audit Security System Extension -> Enable

gpedit.msc -> Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\System Audit Policies\Object Access\Audit File System -> Enable

然后运行agent

需要server的可以运行server

附一张效果图

https://github.com/0xrawsec/whids/blob/master/demo/whids.gif

本文分享自微信公众号 - 鸿鹄实验室(gh_a2210090ba3f)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-05-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 主机卫士EDR的一次勒索病毒阻击战

    摘要: 主机卫士EDR的一次勒索病毒阻击战 7月20日晚9点,安恒信息某客户在内网多台机器上发现几个进程导致CPU占用率极高,多家友商杀毒软件不断报警,但无法停...

    安恒信息
  • 浅析容器安全与EDR的异同

    以Docker为代表的容器技术,直接运行于宿主机操作系统内核,因此对于容器安全,很多人会有着这样的疑问:EDR(Endpoint Detection and R...

    绿盟科技研究通讯
  • 主机卫士EDR:告别数据泄露 让勒索病毒无处遁形

    7月4日,据安恒信息杭州总部IT管理部报告,某区域内多台机器疑似受到勒索病毒攻击,查看资源管理器发现都是两个进程导致CPU占用率达到100%:

    安恒信息
  • 浅析容器安全与EDR的异同

    以Docker为代表的容器技术,直接运行于宿主机操作系统内核,因此对于容器安全,很多人会有着这样的疑问:EDR(Endpoint Detection and R...

    绿盟科技研究通讯
  • 攻防演练中防护阵线构建的三件事

    相信现在很多团队,公司都开始为今年的攻防演练做准备,有钱的买设备,买人,没钱的没人的只好自己搭设备,怎么都要有点东西才能跟领导交代。尤其是今年的行动又跟以往的有...

    FB客服
  • 勒索病毒频发,怎样才能让用户高枕无忧?

    某用户近日出现多台主机系统资源利用率居高不下,部分系统出现蓝屏情况,安恒安全人员紧急响应,在用户单位核心交换机旁路部署APT攻击预警平台,通过实时检测发现大量S...

    安恒信息
  • 手工打造基于ATT&CK矩阵的EDR系统

    EDR, 终端检测响应系统,也称为终端威胁检测响应系统 (ETDR),是一种集成的终端安全解决方案,它将实时连续监控和终端数据采集与基于规则的自动响应和分析功能...

    FB客服
  • 聊聊XDR

    谈到XDR(扩展检测和响应,Extended Detection and Response),很多业内人士可能对它已经非常熟悉了,但是对不了解网络安全的人来说,...

    SDNLAB
  • 精彩速递 | 2018 SOC&EDR应用建设高峰论坛

    7月,蝉鸣的夏季,阳光炽热,我们相遇在“鹏城”,FreeBuf企业安全俱乐部活动首次来到深圳。本次高峰论坛以「聚焦终端响应 智慧安全运营」为主题,聚焦SOC&E...

    FB客服
  • Gartner:2018年10大安全项目详解

    2018年6月份,一年一度的Gartner安全与风险管理峰会上,知名分析师Neil Mcdonald发布了2018年度的十大安全项目(Top 10 Securi...

    FB客服
  • XDR即将到来:CISO应该采取的5个步骤

    威胁检测与响应始终是企业安全建设的重点,据调查,83%的组织计划在未来12到18个月内增加威胁检测和响应支出。与之相对的是,尽管企业在安全技术上花费了数百万美元...

    FB客服
  • BlackHat 2018 | 将亮相的10款网络终端安全产品

    毫无疑问,黑帽黑客大会肯定是每年网络安全领域的重头戏,而2018年的Black Hat也同样是如此。接下来,我们一起看一看在今年的大会上,各大网络安全厂商为了应...

    FB客服
  • 再谈XDR

    在上篇《聊聊XDR》一文中,我们谈到了XDR的定义、优势,为什么需要XDR,以及最终落地的挑战等等,在文章的最后也提到了目前正在提供XDR解决方案的一些厂商,今...

    SDNLAB
  • 总结到目前为止发现的所有EDR绕过方法

    所有关注攻击性安全社区的人都会在过去两年中一次又一次地遇到Userland hooking, Syscalls, P/Invoke/D-Invoke等术语。我自...

    用户2202688
  • 安全研究 | 使用ScareCrow框架实现EDR绕过

    ScareCrow是一款功能强大的Payload创建框架,可以帮助广大研究人员生成用于向合法Windows金册灰姑娘中注入内容的加载器,以绕过应用程序白名单控制...

    FB客服
  • 攻防最前线:ATT&CK模型解读

    所谓 EDR 即 Endpoint Detection and Response (终端探测与响应)。EDR 和市场上常见的EPP( Endpoint Prot...

    FB客服
  • 科普|大家都在说的CWPP,到底是什么屁屁?

    如果说起防火墙、IPS、WAF,大家都很熟悉,这些产品通常被用于边界防护,相当于看大门的。

    CloudBest
  • 如何看懂MITRE安全评测报告

    4月20号,MITRE(著名的MITRE ATT&CK安全知识框架背后的企业,现为MITER Engenuity,这是一个与私营部门合作开展许多举措,特别是网络...

    点火三周
  • 开源项目部署--litemall商城

    litemall 是一个以SpringBoot + Vue管理员前端 + 微信小程序用户前端 + Vue用户移动端组成的一个小商城,gitee上Star有600...

    小博测试成长之路

扫码关注云+社区

领取腾讯云代金券