0x01 BLUESPAWN
项目地址 :https://github.com/ION28/BLUESPAWN
BLUESPAWN – Windows防御集成工具
BLUESPAWN是一个主动的防御和端点检测与响应工具,这意味着防御者可以使用它来快速检测,识别和消除网络中的恶意活动和恶意软件。
bluespawn 主要有三种模式,分别为 缓解模式、狩猎模式、监控模式。其中还有一些子模块,分别为:
- 狩猎:寻找恶意行为的证据的狩猎
- 缓解:通过应用安全设置缓解漏洞
- 监控:连续监控系统是否存在潜在的恶意行为
- 扫描:用于评估由狩猎发现的目标,并确定是否可疑/恶意软件
- 用户:包含程序主程序,IOBase和其他类似功能
- 实用程序:包含支持核心操作的模块的集合
缓解模式
狩猎模式
监控模式
似乎是对于单个终端安全监控的项目,对于集群管控可能相对来说功能没有实现。也许可以自己编写,将单个终端数据上传至存储端。交互性技术性较强,对于缺乏技术的人员可能不太友好。
0x02 EDR-Testing-Script
项目地址:https://gith