Surveyor 项目常见问题解决方案

Surveyor 项目常见问题解决方案

surveyor A cross-platform baselining, threat hunting, and attack surface analysis tool for security teams. 项目地址: https://gitcode.com/gh_mirrors/sur/surveyor

1. 项目基础介绍和主要编程语言

Surveyor 是一个开源的跨平台工具，主要用于安全团队进行基线分析、威胁猎捕和攻击面分析。它通过查询端点检测和响应（EDR）产品来汇总结果，帮助安全团队和IT团队对环境进行基线化，并识别异常活动。Surveyor 使用 Python 编程语言开发，当前支持多种 EDR 平台，包括 Cortex XDR、Microsoft Defender for Endpoint、SentinelOne、VMware Carbon Black EDR 等。

2. 新手使用时需特别注意的三个问题及解决步骤

问题一：如何安装 Surveyor

问题描述： 新手在使用 Surveyor 时，可能会不知道如何正确安装。

解决步骤：

1. 确保系统已经安装了 Python 3.9 或更高版本。
2. 使用以下命令安装 Surveyor：

   pip install surveyor
   

3. 安装完成后，可以通过命令行输入 surveyor 来确认是否安装成功。

问题二：如何运行 Surveyor 中的定义文件

问题描述： 新手可能不清楚如何运行 Surveyor 的定义文件来查询和汇总数据。

解决步骤：

1. 下载或创建一个定义文件（例如 sysinternals.json）。
2. 使用 Surveyor 命令行工具，通过 -deffile 参数指定定义文件，例如：

   surveyor.py --deffile sysinternals.json
   

3. 根据需要，可以添加额外的参数来指定 EDR 平台或其他配置选项。

问题三：如何使用 Sigma 规则文件

问题描述： 新手可能不熟悉如何使用 Sigma 规则文件进行威胁猎捕。

解决步骤：

1. 获取一个 Sigma 规则文件（扩展名为 .yml）。
2. 使用 Surveyor 命令行工具，通过 --sigmarule 参数指定 Sigma 规则文件，例如：

   surveyor.py --sigmarule /path/to/sigma/rule.yml
   

3. 同样，根据需要添加参数来指定 EDR 平台或其他配置选项。

通过上述步骤，新手用户可以更加顺利地开始使用 Surveyor，并有效地进行安全分析和威胁猎捕。

surveyor A cross-platform baselining, threat hunting, and attack surface analysis tool for security teams. 项目地址: https://gitcode.com/gh_mirrors/sur/surveyor