一、定义¶
EDR(Endpoint Detection & Response):是传统终端安全产品在高级威胁检测和响应方面的扩展和补充,通过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文件等维度来评估企业网络中存在的未知风险,以行为引擎为核心,利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失,增加可见性,提升整体安全能力。--奇安信
二、项目地址¶
https://github.com/ComodoSecurity/openedr
2.1 Agent¶
OpenEDR
目前版本2.0.0.0,支持终端操作系统Windows32位/64位
下载地址
默认安装文件C:\Program Files\OpenEdr\EdrAgentV2,输出文件位置 C:\ProgramData\edrsvc\log\output_events
OpenEDR客户端软件测试报告
Filebeat
定义:
Filebeat是用于转发和集中日志数据的轻量级传送工具。Filebeat监视指定的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或 Logstash进行索引。
原理:
filebeat结构:由两个组件构成,分别是inputs(输入)和harvesters(收集器),这些组件一起工作来跟踪文件并将事件数据发送到您指定的输出,harvester负责读取单个文件的内容。harvester逐行读取每个文件,并将内容发送到输出。为每个文件启动一个harvester。harvester负责打开和关闭文件,这意味着文件描述符在harvester运行时保持打开状态。如果在收集文件时删除或重命名文件,Filebeat将继续读取该文件。这样做的副作用是,磁盘上的空间一直保留到harvester关闭。默认情况下,Filebeat保持文件打开,直到达到close_inactive
参考
配置为输出到ElasticSearch
修改配置文件(以Windows7为例) 输入
- type: log
# Change to true to enable this input configuration.
enabled: true
# Paths that should be crawled and fetched. Glob based paths.
paths:
- C:\ProgramData\edrsvc\log\*.log
#- c:\programdata\elasticsearch\logs\*
输出
output.elasticsearch:
# The Logstash hosts
hosts: ["localhost:9200"]
启动
.\filebeat -e -c filebeat.yml
2.2 Server¶
elasticsearch
Docker安装
docker pull docker.elastic.co/elasticsearch/elasticsearch:7.10.0
docker run -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" docker.elastic.co/elasticsearch/elasticsearch:7.10.0