前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >Whids:一款针对Windows操作系统的开源EDR

Whids:一款针对Windows操作系统的开源EDR

作者头像
FB客服
发布2023-03-29 15:46:09
9000
发布2023-03-29 15:46:09
举报
文章被收录于专栏:FreeBuf

 关于Whids 

Whids是一款针对Windows操作系统的开源EDR,该工具所实现的检测引擎基于先前的Gene项目构建,并专门设计可以根据用户定义的规则匹配Windows事件。

 功能特性

1、为社区提供一款功能强大且开源的Windows EDR; 2、支持检测规则透明化,允许分析人员了解规则被触发的原因; 3、通过灵活的规则引擎提供强大的检测原语; 4、通过大幅缩短检测和数据收集之间的时间来优化事件响应流程; 5、支持整合ATT&CK框架; 6、可以与任何防病毒产品共存(建议与MS Defender一起运行); 7、有一个强大的管理API来简化大型部署的管理(目前还没有GUI); 8、提供了非常强大且可定制的检测引擎; 9、专为高吞吐量而设计; 10、易于与其他工具集成(Splunk、ELK、MISP…);

 工具架构 

注意:EDR代理可以单独运行(可以不用跟EDR管理器连接)

 工具运行机制 

 工具依赖 

首先,我们需要安装并配置好Sysmon参考资料:

https://docs.microsoft.com/enus/sysinternals/downloads/sysmon。

接下来,完成Sysmon的配置,并记录所有的ProcessCreate和ProcessTerminate事件。最后,记录下Sysmon代码的路径,之后需要使用到。

 工具安装 

广大研究人员可以使用下列命令将该项目源码克隆至本地,并自行完成工具编译:

代码语言:javascript
复制
git clone https://github.com/0xrawsec/whids.git

除此之外,我们还可以直接访问该项目的【Releases页面】直接下载最新版本的Whids可执行文件。

 工具配置 

为了最大化Whids的功能,我们需要做以下工具配置:

1、启用PowerShell模块日志功能:gpedit.msc -> Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\System Audit Policies\System\Audit Security System Extension -> Enable; 2、启用文件系统审计功能:gpedit.msc -> Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\System Audit Policies\Object Access\Audit File System -> Enable; 3、如果还需要在设备上运行反病毒产品的话,建议使用Microsoft Defender;

 工具使用 

EDR终端代理(Whids.exe)

下载最新版本的Whids,然后以管理员权限运行manage.bat,并按照提示运行即可。

EDR管理器

EDR管理器可以在不同平台上安装,预构建代码提供了Windows、Linux和Darwin平台的可执行文件。接下来,按照下列步骤操作即可:

1、如果需要使用HTTPS,则需要创建TLS证书; 2、然后创建一个配置文件; 3、最后运行代码即可;

 许可证协议 

本项目的开发与发布遵循AGPL-3.0开源许可证协议。

 项目地址 

Whids:https://github.com/0xrawsec/whids

参考资料:

https://github.com/0xrawsec/gene https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon https://attack.mitre.org/ https://validator.swagger.io/?url=https://raw.githubusercontent.com/0xrawsec/whids/master/doc/admin.openapi.json https://www.fireeye.com/blog/threat-research/2016/02/greater_visibilityt.html https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-antivirus/troubleshoot-windows-defender-antivirus#windows-defender-av-ids https://rawsec.lu/doc/gene/1.6/ https://github.com/ion-storm/sysmon-edr https://github.com/ComodoSecurity/openedr https://github.com/marcosd4h/sysmonx

精彩推荐

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-11-11,如有侵权请联系 cloudcommunity@tencent.com 删除
开源
操作系统
工具
配置
事件

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

开源
操作系统
工具
配置
事件
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  •  关于Whids 
  •  功能特性
  •  工具架构 
  •  工具运行机制 
  •  工具依赖 
  •  工具安装 
  •  工具配置 
  •  工具使用 
    • EDR终端代理(Whids.exe)
      • EDR管理器
      •  许可证协议 
      •  项目地址 
      • 参考资料:
      领券

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

      腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

      Copyright © 2013 - 2024 Tencent Cloud.

      All Rights Reserved. 腾讯云 版权所有

      登录 后参与评论