基于开放工具和威胁情报的EDR解决方案

吴迪-基于开放工具和威胁情报的EDR 吴迪在网络安全分析与情报大会上发表的演讲《基于开放工具和威胁情报的EDR》中，提出了基于开放工具和威胁情报的EDR解决方案。该解决方案旨在解决传统EPP解决方案的检测盲点问题，通过多维度的检测和纵深的分析研判来提高入侵事件的检测率。 EDR产品的要求： 1. 安装、配置方便快捷、轻量级，不影响系统性能。 2. 兼容当前部署的主流操作系统。 3. 兼容EPP及各类已安装agent。 4. 能够记录进程及命令行信息。 5. 能够记录网络信息。 6. 能够记录文件HASH信息。 7. 日志本地存储，格式标准化。 在选择EDR产品时，需要从务实的角度选择开放或商业的解决方案，不要“银弹”思维，将异构的商业产品与开放产品进行混搭，以解决实际问题为主导。同时，需要避免“浮躁”想法，持续优化运营和技术，推动解决方案落地。 Sysmon是Windows Sysinternals出品的一款工具，能够监视和记录系统活动，包括进程创建、文件创建、网络连接等，并记录到Windows事件日志中。Sysmon的安装、卸载和更新配置文件的命令分别为： * 安装：sysmon –accepteula –ic:\windows\config.xml * 卸载：sysmon –u * 更新配置文件：sysmon –cc:\windows\config.xml Sysmon的日志查看可以通过SYSMON日志类别来实现。Sysmon典型应用包括检测恶意word文档、检测powershell恶意执行和检测恶意网络连接等。 在使用Sysmon时，推荐使用SwiftOnSecurity的公版配置文件进行mod，实时采集，需要对各类事件做好进程过滤，以避免噪音过多。同时，需要对sysmon进程的保护和监控，日志文件及时上传集中存储，并不断优化检测机制。 Osquery是Facebook开源的操作系统检测和监控项目，使用系统API实现，不存在forkex。Osquery可以实时采集系统数据，提供了强大的查询语言，支持多种数据源和存储系统。 基于开放工具和威胁情报的EDR解决方案可以通过多维度的检测和纵深的分析研判来提高入侵事件的检测率，满足了EDR产品的要求，并提供了实践建议。