关于Whids
Whids是一款针对Windows操作系统的开源EDR,该工具所实现的检测引擎基于先前的
Gene项目构建,并专门设计可以根据用户定义的规则匹配Windows事件。
功能特性
1、为社区提供一款功能强大且开源的Windows EDR;
2、支持检测规则透明化,允许分析人员了解规则被触发的原因;
3、通过灵活的规则引擎提供强大的检测原语;
4、通过大幅缩短检测和数据收集之间的时间来优化事件响应流程;
5、支持整合ATT&CK框架;
6、可以与任何防病毒产品共存(建议与MS Defender一起运行);
7、有一个强大的管理API来简化大型部署的管理(目前还没有GUI);
8、提供了非常强大且可定制的检测引擎;
9、专为高吞吐量而设计;
10、易于与其他工具集成(Splunk、ELK、MISP…);
工具架构
注意:EDR代理可以单独运行(可以不用跟EDR管理器连接)
工具运行机制
工具依赖
首先,我们需要安装并配置好Sysmon【[ 参考资料](https://docs.microsoft.com/en-
us/sysinternals/downloads/sysmon)】。接下来,完成Sysmon的配置,并记录所有的ProcessCreate和ProcessTerminate事件。最后,记录下Sysmon代码的路径,之后需要使用到。
工具安装
广大研究人员可以使用下列命令将该项目源码克隆至本地,并自行完成工具编译:
git clone https://github.com/0xrawsec/whids.git
除此之外,我们还可以直接访问该项目的【
Releases页面】直接下载最新版本的Whids可执行文件。
工具配置
为了最大化Whids的功能,我们需要做以下工具配置:
1、启用PowerShell模块日志功能:gpedit.msc -> Computer Configuration\Windows
Settings\Security Settings\Advanced Audit Policy Configuration\System Audit
Policies\System\Audit Security System Extension -> Enable;2、启用文件系统审计功能:gpedit.msc -> Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\System Audit Policies\Object
Access\Audit File System -> Enable;3、如果还需要在设备上运行反病毒产品的话,建议使用Microsoft Defender;
工具使用
EDR终端代理(Whids.exe)
下载最新版本的Whids,然后以管理员权限运行manage.bat,并按照提示运行即可。
EDR管理器
EDR管理器可以在不同平台上安装,预构建代码提供了Windows、Linux和Darwin平台的可执行文件。接下来,按照下列步骤操作即可:
1、如果需要使用HTTPS,则需要创建TLS证书;
2、然后创建一个
配置文件;3、最后运行代码即可;
网络安全工程师企业级学习路线
这时候你当然需要一份系统性的学习路线
如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。
一些我收集的网络安全自学入门书籍
一些我白嫖到的不错的视频教程:
上述资料【扫下方二维码】就可以领取了,无偿分享
