whids?是一個適用于 Windows 的開源 EDR。

Why

• 向社區(qū)提供開源 EDR
• 使檢測規(guī)則透明化，使分析人員了解觸發(fā)規(guī)則的原因
• 通過靈活的規(guī)則引擎提供強(qiáng)大的檢測原語
• 通過大幅縮短檢測和工件收集之間的時間來優(yōu)化事件響應(yīng)流程

How

?

注意：EDR 代理可以獨(dú)立運(yùn)行（無需連接到?EDR 管理器）

優(yōu)點(diǎn)

• 開源
• 依靠Sysmon來完成所有繁重的工作（內(nèi)核組件）
• 非常強(qiáng)大但也可定制的檢測引擎
• 由事件響應(yīng)者為所有事件響應(yīng)者構(gòu)建，使他們的工作更輕松
• 占用空間小（無進(jìn)程注入）
• 可以與任何防病毒產(chǎn)品共存（建議與MS Defender一起運(yùn)行）
• 專為高吞吐量而設(shè)計。它可以輕松地豐富和分析每個端點(diǎn)每天 400 萬個事件，而不會影響性能。祝你好運(yùn)用 SIEM 實現(xiàn)這一目標(biāo)。
• 易于與其他工具集成（Splunk、ELK、MISP ...）
• 與?ATT&CK 框架集成

缺點(diǎn)

• 僅適用于 Windows
• 檢測僅限于 Windows 事件日志通道中可用的內(nèi)容（已經(jīng)有很多）
• 沒有過程儀表（這也是一種優(yōu)勢，因為它取決于觀點(diǎn)）
• 還沒有 GUI（如果社區(qū)要求，將開發(fā)一個）
• 不支持 ETW