OpenEDR：一个功能强大的开源EDR公共库

OpenEDR

OpenEDR是一个源代码公开可获取的网络安全平台，在这个平台上，广大研究人员可以同时对产品和服务进行管理。终端安全响应系统（EDR）只是OpenEDR的其中一个部分，OpenEDR不仅具有完整的EDR功能，而且它也是世界上最复杂、最有效的EDR代码库之一，在社区的帮助下，它将变得更好。

OpenEDR是免费的，其源代码对公众开放。OpenEDR允许您在基本安全事件级别分析整个环境中发生的事情。这种粒度使得广大研究人员能够进行更快速、更有效的安全威胁缓解，并得到准确的根本原因分析结果。它可以收集关于端点、哈希、基本和高级事件的所有详细信息，除此之外还可以获得详细的文件和设备轨迹信息，并可以导航单个事件来发现可能危及系统的更大问题。

OpenEDR的安全体系结构简化了漏洞检测、保护和可见性，因为它可以处理所有威胁向量，而不需要任何其他代理或解决方案。代理在本地记录所有遥测信息，然后将数据发送到本地托管或云托管的ElasticSearch部署。值得一提的是，实时可见性和连续分析是整个端点安全概念的重要元素。OpenEDR使研究人员能够在基本事件级别粒度上对环境中发生的事情执行分析，这样可以进行准确的根本原因分析，从而更好地实施安全缓解方案。除此之外，OpenEDR的集成安全架构还提供了完整的攻击向量可见性，包括MITRE框架。

运行机制

下图显示的是该工具运行时组件的通用高级交互图：

工具安装

OpenEDR 是一个单一的代理，可以直接安装在Windows节点上。它可以针对所有的安全相关事件生成扩展性强的遥测数据，并且还提供了Comodo上的文件查询、分析和诊断系统功能。除此之外，我们还可以创建自己的账号。

遥测数据将存储在Windows节点的本地目录中，我们可以使用任何日志流解决方案和分析平台来处理这些数据，比如说Elasticsearch和Filebeat等等。

广大研究人员可以直接访问该项目的【Releases页面】来下载对应系统架构的OpenEDR版本。

工具运行截图

安全检测/警报

事件详情

工具仪表盘

处理时间轴

处理流程树

事件搜索

使用的库

AWS SDK AWS SDK for C++ Boost C++ Libraries c-ares Catch2 Clare Cli Crashpad Curl Detours Google APIs JsonCpp libjson-rpc-cpp libmicrohttpd log4cplusMadcHook, MadcHookDrv NetFilter SDK & ProtocolFilte nlohmann JSON OpenSSL Toolkit Tiny AES in C Uri UTF8-CPP xxhash_cpp Zlib

项目地址

OpenEDR：【GitHub传送门】

参考资料

https://techtalk.comodo.com/2020/09/19/open-edr-components/ https://community.openedr.com/ https://github.com/ComodoSecurity/openedr_roadmap/projects/1 https://valkyrie.comodo.com/ https://www.elastic.co/guide/en/elasticsearch/reference/current/install-elasticsearch.html https://www.elastic.co/guide/en/elasticsearch/reference/7.10/docker.html https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-installation-configuration.html https://www.elastic.co/guide/en/beats/filebeat/current/configuration-filebeat-options.html https://github.com/ComodoSecurity/openedr/releases/tag/2.0.0.0

精彩推荐