EDR测试脚本使用指南

EDR测试脚本使用指南

EDR-Testing-ScriptTest the accuracy of Endpoint Detection and Response (EDR) software with simple script which executes various ATT&CK/LOLBAS/Invoke-CradleCrafter/Invoke-DOSfuscation payloads项目地址:https://gitcode.com/gh_mirrors/ed/EDR-Testing-Script

1. 项目介绍

此项目【EDR-Testing-Script**】旨在帮助安全管理员和IT专业人员评估其终端检测与响应（Endpoint Detection and Response, EDR）解决方案的有效性。通过执行一系列预设的安全相关操作和潜在威胁模拟，该脚本能够检验EDR系统的检测与响应能力。它覆盖了从基础事件可见性到高级功能的测试，尤其是在对抗现代网络威胁场景中。适用于那些希望在非生产环境下测试不同EDR及NTA产品性能的组织。

2. 项目快速启动

环境需求

• 操作系统: Windows
• 权限: 建议以管理员身份运行以避免权限限制
• 目标系统: 非生产环境中的测试VM或工作站，已安装EDR解决方案

步骤

1. 克隆仓库:

   git clone https://github.com/op7ic/EDR-Testing-Script.git
   

2. 运行测试脚本: 进入项目目录，并确保你的EDR正在监控环境中。然后以适当权限运行runtests脚本。

   cd EDR-Testing-Script
   # 作为管理员运行脚本
   powershell.exe -ExecutionPolicy Bypass -File .\runtests.ps1
   

3. 观察并验证结果: 脚本将触发多种场景，如执行calc.exe模拟恶意行为。检查EDR控制台，确认这些活动是否被正确识别和记录。

注意: 不要在生产系统上直接使用此脚本，以免引起不必要的警报或干扰正常运营。

3. 应用案例和最佳实践

• 比较EDR解决方案: 在评估多个EDR提供商时，使用此脚本来对比它们在相似攻击情景下的响应速度和准确性。
• 优化配置: 定期运行脚本，帮助调整EDR设置，减少误报，提高行动的针对性。
• 培训与教育: 作为内部安全团队的培训工具，增强对威胁检测和响应的理解。

4. 典型生态项目

虽然本项目专注于独立测试EDR能力，但在实际部署中，与之互补的生态项目可能包括自动化响应平台、SIEM系统集成以及自定义签名开发工具。例如，结合SIEM（安全信息与事件管理）系统，可以实现更深入的数据分析和长期威胁趋势追踪。此外，安全研究人员可能会利用ATT&CK框架的知识库来扩展脚本，模拟更为复杂的攻击链路，进一步提升EDR测试的真实性和全面性。

通过上述步骤和实践，组织不仅能够更好地理解其现有EDR方案的效果，还能在不断演进的安全威胁面前保持警惕和准备状态。记得始终在可控的测试环境中进行此类测试，以保障日常业务的稳定运行。

EDR-Testing-ScriptTest the accuracy of Endpoint Detection and Response (EDR) software with simple script which executes various ATT&CK/LOLBAS/Invoke-CradleCrafter/Invoke-DOSfuscation payloads项目地址:https://gitcode.com/gh_mirrors/ed/EDR-Testing-Script