whids?是一個適用于 Windows 的開源 EDR。

Why

• 向社區(qū)提供開源 EDR
• 使檢測規(guī)則透明化，使分析人員了解觸發(fā)規(guī)則的原因
• 通過靈活的規(guī)則引擎提供強大的檢測原語
• 通過大幅縮短檢測和工件收集之間的時間來優(yōu)化事件響應(yīng)流程

How

?

注意：EDR 代理可以獨立運行（無需連接到?EDR 管理器）

優(yōu)點

• 開源
• 依靠Sysmon來完成所有繁重的工作（內(nèi)核組件）
• 非常強大但也可定制的檢測引擎
• 由事件響應(yīng)者為所有事件響應(yīng)者構(gòu)建，使他們的工作更輕松
• 占用空間小（無進程注入）
• 可以與任何防病毒產(chǎn)品共存（建議與MS Defender一起運行）
• 專為高吞吐量而設(shè)計。它可以輕松地豐富和分析每個端點每天 400 萬個事件，而不會影響性能。祝你好運用 SIEM 實現(xiàn)這一目標。
• 易于與其他工具集成（Splunk、ELK、MISP ...）
• 與?ATT&CK 框架集成

缺點

• 僅適用于 Windows
• 檢測僅限于 Windows 事件日志通道中可用的內(nèi)容（已經(jīng)有很多）
• 沒有過程儀表（這也是一種優(yōu)勢，因為它取決于觀點）
• 還沒有 GUI（如果社區(qū)要求，將開發(fā)一個）
• 不支持 ETW