EDR介绍
EDR((Endpoint Detection and Response,即端点检测和响应)是一种网络安全解决方案,专注于监控、检测和响应计算机端点(如桌面计算机、笔记本电脑、服务器等)上的潜在威胁和恶意活动。
它通过实时分析和AI驱动的自动化技术,保护组织的最终用户、端点设备和IT资产免受复杂网络威胁的侵害。
EDR的主要功能包括:
- 实时监控与数据收集:持续监控端点设备的活动,收集安全相关的数据。
- 威胁检测与响应:利用威胁情报和行为分析技术,快速识别并响应恶意活动。
- 自动化响应:在检测到威胁时,自动采取措施隔离受影响的端点或阻止恶意行为。
- 事件关联与根本原因分析:通过分析事件的时间线和关联性,帮助安全团队快速定位问题根源。
杀毒软件(AV)
- 功能:主要检测和清除已知恶意软件。
- 技术:依赖特征码匹配、启发式分析。
- 场景:适合个人用户和小型企业,用于基本防护。
- 资源消耗:较低,对系统性能影响小。
- 维护:需频繁更新病毒库。
端点检测与响应(EDR)
- 功能:检测和响应已知及未知威胁,提供全面监控和事件响应。
- 技术:结合行为分析、机器学习、威胁情报。
- 场景:适合企业及高安全需求环境,用于复杂威胁防护。
- 资源消耗:较高,对系统性能有一定影响。
- 维护:需专业人员配置和维护。
- 总结:杀毒软件适合基础防护,EDR适合高级防护需求。
OpenEDR
OpenEDR是一个开源的端点检测与响应平台,旨在提供一个免费且功能强大的网络安全解决方案。
官网:https://www.openedr.com/
注意,网站有可能需要挂梯子才能打开,不能打开的同学请咨询班主任
下面要用到实名认证的阿里云账户(MFA功能),如果嫌麻烦,可以放弃这个实验
如果要做破坏性测试,一定要先给虚拟机打快照
环境说明
此处我们使用一个Windows10的虚拟机安装OpenEDR客户端。
注册账号
打开官网以后,这两个按钮都可以进入注册
输入用户名、邮箱、密码、地区(China +86)、手机号,点 CREATE FREE ACCOUNT 注册
是否开启二次验证(动态口令),这个需要强制开启,即时跳过后面也需要打开。
方法:
安装“阿里云”或者“华为云”APP,实名认证。
点这里的:Configure authentication
打开“阿里云”或者“华为云”APP内的扫码功能,扫描网页出现的二维码。
保存密钥文件以后,把上面这个6位数字填入网页。
等待创建:
等待:
注册设备:
这里提供了专属的终端的Agent客户端下载。所有安装这个客户端的机器,都会受到本账号(在网页端)的管理。
我们复制这个地址,在Windows10的虚拟机中粘贴到浏览器,下载。
点击Download下载:
虚拟机浏览器提示,点“保留”:
下载完成,双击安装,点“是”:
安装完成:
这个客户端没有什么功能,主要就是监听、收集事件,发送到服务端,在账号管理中可以看到。
服务端管理
https://openedr.platform.xcitium.com/dashboards/service-summary-mdr
仪表盘概览:
ITSM(IT service management):
对设备进行管理:
例如远程关机(Power Options):
可以在虚拟机上运行这个脚本来测试EDR的功能:
(先把Windows Defender全部关闭)
https://github.com/op7ic/EDR-Testing-Script
(实际测试没有告警……)
开源安全产品全系列
F12-Linux安装雷池WAF
https://wiki.bafangwy.com/doc/704/
F13-Ubuntu安装开源堡垒机JumpServer
https://wiki.bafangwy.com/doc/820/
F14-Ubuntu安装开源蜜罐HFish
https://wiki.bafangwy.com/doc/821/
F15-Ubuntu安装开源杀软ClamAV
https://wiki.bafangwy.com/doc/822/
F16-开源态势感知系统liuying单机版使用方法
https://wiki.bafangwy.com/doc/823/
F17-Ubuntu安装开源IDS/IPS系统Suricata
https://wiki.bafangwy.com/doc/825/
D14-Windows虚拟机安装OpenEDR
https://wiki.bafangwy.com/doc/826/
