Whids:一款针对Windows操作系统的开源EDR

最新推荐文章于 2024-04-19 09:32:43 发布
最新推荐文章于 2024-04-19 09:32:43 发布
阅读量734 收藏 1
点赞数
文章标签: windows git github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2203/article/details/129061170
版权

关于Whids

Whids是一款针对Windows操作系统的开源EDR,该工具所实现的检测引擎基于先前的
Gene项目构建,并专门设计可以根据用户定义的规则匹配Windows事件。

功能特性

1、为社区提供一款功能强大且开源的Windows EDR;

2、支持检测规则透明化,允许分析人员了解规则被触发的原因;

3、通过灵活的规则引擎提供强大的检测原语;

4、通过大幅缩短检测和数据收集之间的时间来优化事件响应流程;

5、支持整合ATT&CK框架;

6、可以与任何防病毒产品共存(建议与MS Defender一起运行);

7、有一个强大的管理API来简化大型部署的管理(目前还没有GUI);

8、提供了非常强大且可定制的检测引擎;

9、专为高吞吐量而设计;

10、易于与其他工具集成(Splunk、ELK、MISP…);

工具架构

注意:EDR代理可以单独运行(可以不用跟EDR管理器连接)

工具运行机制

工具依赖

首先,我们需要安装并配置好Sysmon【[ 参考资料](https://docs.microsoft.com/en-
us/sysinternals/downloads/sysmon)】。接下来,完成Sysmon的配置,并记录所有的ProcessCreate和ProcessTerminate事件。最后,记录下Sysmon代码的路径,之后需要使用到。

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地,并自行完成工具编译:

git clone https://github.com/0xrawsec/whids.git

除此之外,我们还可以直接访问该项目的【
Releases页面】直接下载最新版本的Whids可执行文件。

工具配置

为了最大化Whids的功能,我们需要做以下工具配置:

1、启用PowerShell模块日志功能:gpedit.msc -> Computer Configuration\Windows
Settings\Security Settings\Advanced Audit Policy Configuration\System Audit
Policies\System\Audit Security System Extension -> Enable;

2、启用文件系统审计功能:gpedit.msc -> Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\System Audit Policies\Object
Access\Audit File System -> Enable;

3、如果还需要在设备上运行反病毒产品的话,建议使用Microsoft Defender;

工具使用

EDR终端代理(Whids.exe)

下载最新版本的Whids,然后以管理员权限运行manage.bat,并按照提示运行即可。

EDR管理器

EDR管理器可以在不同平台上安装,预构建代码提供了Windows、Linux和Darwin平台的可执行文件。接下来,按照下列步骤操作即可:

1、如果需要使用HTTPS,则需要创建TLS证书;

2、然后创建一个
配置文件

3、最后运行代码即可;

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

网安员阿道夫
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BLUESPAWN:一种主动防御和EDR软件,可增强Blue Teams的能力
02-05
BLUESPAWN:一种主动防御和EDR软件,可增强Blue Teams的能力
EG Free Antivirus:Windows开源安全软件,可防止病毒。-开源
05-13
EG Free Antivirus是Windows OS的开源防病毒软件,使用ClamAV作为内部扫描引擎来检测木马,病毒,恶意软件和其他恶意威胁。 有关更多信息和完整功能,请访问官方网站egsoftweb.in
开源EDR(OSSEC)基础篇- 02 -部署环境与安装方式
weixin_34232363的博客
12-28 2643
前言 上一篇介绍了OSSEC设计的定位以及产品输出的能力,在对OSSEC安全功能有个大体印象的前提下,我们接着开始实践OSSEC的安装和部署,本篇重点的重点是帮助初次接触或者对OSSEC不熟悉的同学,无痛安装,并能够用最短的时间在所服务的企业内部真正的使用起来。 1. 环境准备 1.1 拓扑图 1.2 部署清单 1.3 工作流 OSSEC-Serv...
WHIDS:全栈式入侵检测系统的高效解决方案
gitblog_00089的博客
04-19 676
WHIDS:全栈式入侵检测系统的高效解决方案 项目地址:https://gitcode.com/0xrawsec/whids 项目简介 WHIDSWindows Host Intrusion Detection System)是一个开源、跨平台的全栈入侵检测系统,由安全研究人员0xrawsec开发。该项目旨在提供一种轻量级且高效的监控方案,帮助用户识别并防御恶意活动和潜在的安全威胁。 技术分析...
开源EDR(Wazuh) 安装与部署
sun007700的专栏
04-30 1730
开源EDR(Wazuh) 安装与部署 - 知乎 火眼 edr
开源NTA/IPS/NDR工具的简单比较
WALNUT的博客
12-13 3541
开源NTA/IPS/NDR工具的简单比较 笔者目前所在的公司,办公网用户端有安装桌管软件,IDC服务器有部署某安全初创公司的EDR产品,综合来看在终端这层做得还算到位,能满足目前业务体量下的安全需求。但是在网络这层,却一直是有缺失的。除了SNMP监控,就几乎没有其他的网络监控工具了。以往出现突发事件,还需要在入口处部署一台机器临时抓包。效率低不说,问题回溯能力几乎没有。 先前部署了一套NetFlow流量分析系统后,算是对内网可视化有从0到1的改变,并发现和定位了几起流量异常和员工异常行为。但既然Ne
Wazuh--一个完善的开源EDR产品
网络安全研究
09-11 9733
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh 2. Wazuh平台的组件和体系结构 Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu
Github 开源 EDR项目一览
single7_的博客
11-24 6838
0x01 BLUESPAWN 项目地址 :https://github.com/ION28/BLUESPAWN BLUESPAWN – Windows防御集成工具 BLUESPAWN是一个主动的防御和端点检测与响应工具,这意味着防御者可以使用它来快速检测,识别和消除网络中的恶意活动和恶意软件。 bluespawn 主要有三种模式,分别为 缓解模式、狩猎模式、监控模式。其中还有一些子模块,分别为: 狩猎:寻找恶意行为的证据的狩猎 缓解:通过应用安全设置缓解漏洞 监控:连续监控系统是否存在潜在的恶意行为 扫
甲方可能需要的开源软件整理(持续更新)
莫慌的博客
11-09 1474
开源安全产品
开源EDR(OSSEC)基础篇- 01 -设计定位与能力输出
weixin_34391854的博客
12-28 1324
前言 介绍OSSEC之前,不得不提到当前比较热门的技术EDR,近几年随着大数据SIEM系统的发展,EDR(端点威胁检测与响应)技术成为了安全界万众宠爱的骄子,广泛用于威胁检测、攻击溯源和响应处理的安全场景。 而OSSEC是一开源的跨平台的准EDR入侵检测响应系统,可以实现商业EDR 大部分的功能,可以说OSSEC是所有EDR商业产品的原型,发展至今已经...
开源EDR(OSSEC)基础篇- 03 - 目录结构与实用工具
weixin_34187862的博客
01-18 2453
前言 上一篇我们着重介绍了OSSEC的部署安装,而本篇主要想挖掘的是OSSEC程序目录放置的各种实用的工具和文件,了解他们是干什么的有助于更深的了解OSSEC的工作机制。 1. 文件剖析 1.1 根目录 程序目录默认安装在 /var/ossec ,对核心子目录重点展示 1.2 子目录 /bin 此目录主要存放OSSEC的可执行程序文件 1.2.1 核...
ossec-hids-3.6.0 源码
03-28
ossec官方源码,3.6.0最新版本,编译后用于安装linux下的server和agent,方便部署,可本地自行编译成多平台的可执行程序
whidsWindows开源端点检测系统
02-06
为什么提供类似开源EDR的工具灵活的检测易于与其他开源工具(MISP,Hive ...)集成怎么样侦测主机实时检测侦听Windows事件日志通道并应用检测规则用户定义的规则(我们知道为什么我们检测到某些东西) 设计用于MS ...
lyos:一个开源操作系统-开源
07-05
Lyos 是一种开源操作系统,可在基于 x86 的 32 位 PC 上运行。
ReactOS:一个免费的 Windows 兼容操作系统-开源
06-23
想象一下,在您可以信任的开源环境中运行您最喜欢的 Windows 应用程序和驱动程序。 这就是 ReactOS 的使命! 成为全球社区的一部分,就像 ReactOS 一样,将把你自己的个人技能提升到一个新的最高水平。 与来自不同...
NuzulOS:NuzulOS-Pascal操作系统-开源
05-07
NuzulOS是我在Pascal环境中开发的操作系统
Windows操作系统与linux操作系统的区别.docx
最新发布
04-22
Windows操作系统和Linux操作系统是当前主流的两个操作系统之一。尽管两者都是操作系统,用于管理计算机硬件和软件资源,但它们在设计理念、用户界面、软件兼容性、开源性等方面存在很大差异。本文主要探讨Windows...
OpenEDR:安全厂商Comodo 开源 EDR 解决方案
smellycat000的专栏
11-13 3207
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队本周,网络安全公司 Comodo 开源其端点检测和响应(EDR) 解决方案,成为首个选择开源 EDR 的主流安全厂商。该项目...
开源免费,最好用的3大系统9大防火墙软件安利给你们
simplilearnCN的博客
04-22 5289
防火墙软件并不是在每个操作系统上都能很好地发挥作用,不同的系统需要不同的防火墙来保护,所以就有了Windows 防火墙、macOS 防火墙或 Linux 防火墙。今天我们就来了解,各个系统好用的防火墙有哪些。
Windows系统上开源的CAN开发库
05-26
Windows系统上,有多个开源的CAN开发库可供选择。以下是一些常用的开源库: 1. can4python:一个用于Python的CAN开源库,可用于Windows系统。它支持多种CAN总线适配器,包括Kvaser、Peak、Vector等。 2. libcanard:一个用于嵌入式系统的CAN开源库,可以在Windows上进行交叉编译。它支持CAN2.0A和CAN2.0B协议,并且提供了一组API函数用于发送和接收CAN帧。 3. can-utils:一个用于Linux和Windows系统的CAN开源工具包,包含了多个工具,如candump、canplayer、cansniffer等。可以方便地进行CAN帧的发送和接收。 4. SocketCAN:一个用于Linux和Windows系统的CAN开源库,支持多种CAN总线适配器,如Kvaser、Peak、Vector等。它提供了一组API函数用于发送和接收CAN帧。 以上是一些常用的CAN开源库,你可以根据自己的需求选择合适的库进行开发。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值