没拿windows电脑的日子真的枯燥,摸鱼在搜索edr安全运营的时候发现了火鸡哥的文章https://key08.com/index.php/2025/07/06/2697.html,突然脑洞大开,发现我的edr还能这么进行优化
首先
他文中 提到了很多人喜欢把 数据源 和自己 能检出的技术 混在一起了,比如 有人说, 我能采集 远程线程注入/我能采集内存加载,而这两个实际上只属于 Process 这一类
我们进入检测方式查看,就给除了检测的方式,这边可以翻译来看。
发现他们都采用了相同的数据源,并且可以再反过来,从数据源,看是那些检测方式使用了这个数据源。
https://attack.mitre.org/datacomponents/DC0035/
并且大量使用的是系统事件日志,ETW事件,还有sysmon的事件来的,这些windows已经提供给我们的东西,我们就很方便的进行使用,拿到这些数据再次进行对日志进行ATT&CK矩阵映射。火鸡哥提到:这一部分已经过滤了70%的日志了,剩下的30%日志我们将会与进程绑定在一起,并且做中高低排序,这样我们就实现一个进程告警.
所以我们下一步改进的地方,就可以第一步是使用这个矩阵,映射威胁行为,第二步与进程绑定在一起做进程告警,第三步就是威胁事件(TTPS),根据事件的顺序,整个过程几个阶段,由不同的攻击技术和进程链组合在一起,最终组成主机链,从而确定告警,这些单独出现不代表有恶意攻击,有行为链了就是高置信了,也可以做一个图来映射矩阵。
规则匹配的话
比如
以上是摸鱼临时想到的,更加专业合理化的检测,可能有些见解还不到位,慢慢做吧。
广告时间
https://mp.weixin.qq.com/s/bHIJ2ncNV5fghlHrkF7AVQ《你也想做终端安全吗》
上一文发出这个培训的广告,好多朋友都感兴趣,好多大佬师傅也给出了意见,最近已经在准备一些讲课需要的东西,大家经常在群里沟通,氛围很好,欢迎感兴趣的小白师傅或者想了解AI驱动开发的师傅前来咨询。
价格
培训这块终端安全这块内容价格的话:
团队100人之前199,100人之后299
在这里能学到免杀,驱动开发等内核安全方面的知识,内容很杂,不是一个目录能介绍完的,只能说我有写驱动和调试等免杀的能力,一定带领大家也能到达我目前的水平,所以仅仅面对新手,有一定经验建议无需学习。