OpenEDR

OpenEDR — это платформа сетевой безопасности с общедоступным исходным кодом, с помощью которой исследователи могут одновременно управлять продуктами и услугами. Endpoint Security Response (EDR) — это лишь одна часть OpenEDR. OpenEDR не только обладает полными возможностями EDR, но также является одной из самых сложных и эффективных баз кода EDR в мире, и с помощью сообщества она станет такой. стать еще добрее.

OpenEDR бесплатен, а его исходный код открыт для общественности. OpenEDR позволяет вам анализировать то, что происходит в вашей среде, на базовом уровне событий безопасности. Такая степень детализации позволяет исследователям быстрее и эффективнее устранять угрозы безопасности и получать точные результаты анализа первопричин. Он может собирать все сведения о конечных точках, хэшах, базовых и расширенных событиях, а также получать подробную информацию о трассировке файлов и устройств и перемещаться по отдельным событиям для выявления более серьезных проблем, которые могут поставить под угрозу систему.

OpenEDRиз Безопасность Упрощенная архитектураОбнаружение уязвимостей、защита и видимость,Потому что он может справиться со всеми векторами угроз.,без необходимости использования каких-либо других агентов или растворов. Агент регистрирует всю информацию телеметрии локально.,а потомданные Отправить на локальный хостинг илиоблачный хостингизElasticSearchразвертывать。值得一提из是,Видимость в реальном времени и непрерывная аналитика являются неотъемлемой частьюБезопасность конечных точек概念из重要元素。OpenEDRпозволяют исследователям выполнять базовыесобытие级别粒度上对环境中发生из事情执行分析,Это позволяет провести точный анализ первопричин.,Это позволит лучше реализовать план смягчения последствий для безопасности. кроме,Интегрированная архитектура безопасности OpenEDR также обеспечивает полную видимость вектора атаки.,Включает структуру MITRE.

Рабочий механизм

На следующем рисунке показана общая схема взаимодействия компонентов среды выполнения инструмента:

Установка инструмента

OpenEDR — это единый агент, который можно установить непосредственно на узлах Windows. Он может генерировать масштабируемые данные телеметрии для всех событий, связанных с безопасностью, а также обеспечивает системные функции запроса, анализа и диагностики файлов на Comodo. Кроме того, мы также можем создать свою собственную учетную запись.

Данные телеметрии будут храниться в локальном каталоге узла Windows, и мы можем использовать любое решение для потоковой передачи журналов и платформу анализа для обработки этих данных, например Elasticsearch и Filebeat и т. д.

Исследователи могут напрямую посетить [страницу релизов] проекта, чтобы загрузить версию OpenEDR, соответствующую архитектуре системы.

Скриншот запуска инструмента

Обнаружение/оповещение безопасности

Подробности мероприятия

Панель инструментов

Работа со сроками

дерево процессов

поиск событий

Используемые библиотеки

AWS SDK AWS SDK for C++ Boost C++ Libraries c-ares Catch2 Clare Cli Crashpad Curl Detours Google APIs JsonCpp libjson-rpc-cpp libmicrohttpd log4cplusMadcHook, MadcHookDrv NetFilter SDK & ProtocolFilte nlohmann JSON OpenSSL Toolkit Tiny AES in C Uri UTF8-CPP xxhash_cpp Zlib

Адрес проекта

OpenEDR：【Портал GitHub】

Ссылки

https://techtalk.comodo.com/2020/09/19/open-edr-components/ https://community.openedr.com/ https://github.com/ComodoSecurity/openedr_roadmap/projects/1 https://valkyrie.comodo.com/ https://www.elastic.co/guide/en/elasticsearch/reference/current/install-elasticsearch.html https://www.elastic.co/guide/en/elasticsearch/reference/7.10/docker.html https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-installation-configuration.html https://www.elastic.co/guide/en/beats/filebeat/current/configuration-filebeat-options.html https://github.com/ComodoSecurity/openedr/releases/tag/2.0.0.0

Замечательная рекомендация