Whids：一款针对Windows操作系统的开源EDR

关于Whids

Whids是一款针对Windows操作系统的开源EDR，该工具所实现的检测引擎基于先前的
Gene项目构建，并专门设计可以根据用户定义的规则匹配Windows事件。

功能特性

1、为社区提供一款功能强大且开源的Windows EDR；

2、支持检测规则透明化，允许分析人员了解规则被触发的原因；

3、通过灵活的规则引擎提供强大的检测原语；

4、通过大幅缩短检测和数据收集之间的时间来优化事件响应流程；

5、支持整合ATT&CK框架；

6、可以与任何防病毒产品共存（建议与MS Defender一起运行）；

7、有一个强大的管理API来简化大型部署的管理（目前还没有GUI）；

8、提供了非常强大且可定制的检测引擎；

9、专为高吞吐量而设计；

10、易于与其他工具集成（Splunk、ELK、MISP…）；

工具架构

注意：EDR代理可以单独运行（可以不用跟EDR管理器连接）

工具运行机制

工具依赖

首先，我们需要安装并配置好Sysmon【[ 参考资料](https://docs.microsoft.com/en-
us/sysinternals/downloads/sysmon)】。接下来，完成Sysmon的配置，并记录所有的ProcessCreate和ProcessTerminate事件。最后，记录下Sysmon代码的路径，之后需要使用到。

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地，并自行完成工具编译：

git clone https://github.com/0xrawsec/whids.git

除此之外，我们还可以直接访问该项目的【
Releases页面】直接下载最新版本的Whids可执行文件。

工具配置

为了最大化Whids的功能，我们需要做以下工具配置：

1、启用PowerShell模块日志功能：gpedit.msc -> Computer Configuration\Windows
Settings\Security Settings\Advanced Audit Policy Configuration\System Audit
Policies\System\Audit Security System Extension -> Enable；

2、启用文件系统审计功能：gpedit.msc -> Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\System Audit Policies\Object
Access\Audit File System -> Enable；

3、如果还需要在设备上运行反病毒产品的话，建议使用Microsoft Defender；

工具使用

EDR终端代理（Whids.exe）

下载最新版本的Whids，然后以管理员权限运行manage.bat，并按照提示运行即可。

EDR管理器

EDR管理器可以在不同平台上安装，预构建代码提供了Windows、Linux和Darwin平台的可执行文件。接下来，按照下列步骤操作即可：

1、如果需要使用HTTPS，则需要创建TLS证书；

2、然后创建一个
配置文件；

3、最后运行代码即可；

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话，可以在文末下载（无偿的），大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程：

上述资料【扫下方二维码】就可以领取了，无偿分享