EDR, 終端檢測響應系統，也稱爲終端威脅檢測響應系統 (ETDR)，是一種集成的終端安全解決方案，它將實時連續監控和終端數據採集與基於規則的自動響應和分析功能結合在一起，是一種用於檢測和調查主機和終端上的可疑活動的新興安全系統，該系統採用高度自動化，使安全團隊能夠快速識別，定位和應對威脅。

EDR系統的主要功能是:

1. 監視和收集可能存在威脅的終端的活動數據
2. 分析採集到的數據，通過威脅模型進行關聯識別
3. 作爲取證和分析的工具，以研究鎖定的威脅和搜索可疑活動

在未有系統地部署EDR產品的企業中將很明顯地缺乏針對未知病毒的監控手段以及事件回溯的能力和工具，僅依靠單一的殺毒軟件能夠回饋到的信息是極爲有限的，甚至乎根本就無能爲力。主要原因在於其缺乏日誌級的監控工具以供回溯，所以SYSMON的正確部署能夠有效地幫助應急人員快速地定位並處理病毒和攻擊事件，也能提供非常豐富的事件回溯。具體SYSMON的介紹和使用我這裏就不再詳述了，大家可以參考Freebuf中的文章，已經有大量篇幅詳細地介紹了SYSMON的情況。但是，想要用好SYSMON其實並不是一件非常輕鬆和簡單的事情，它的背後必定要有一個強大的平臺和一個強大的團隊。平臺即爲大數據分析平臺，可爲ELK，可爲GrayLog，可爲日誌易，也可以爲Splunk。因爲Splunk的優秀搜索能力和人性化的操作界面，Freebuf中也介紹了非常多的文章如何利用Splunk+SYSMON進行日誌分析，從而協助安全人員進行分析。

要想用好的另外一個條件是要有專業的人手，能夠幫你從大量日誌中篩選出病毒向量，攻擊向量，並結合一定的IOC規則定義成各種報警，報表和可視圖表。這個工作是異常繁瑣和重複的，需要不定期的修改和調整從而能涵蓋更多的攻擊場面，時間長了，使用Splunk+SYSMON的純粹使用者將會產生報警免疫，從而有可能漏過真實報警。那麼有沒有一種方法可以快速定位問題還能涵蓋更多的攻擊面呢？恰恰我們知道MITREATT&CK矩陣的存在，這個編排了幾乎所有的攻擊可能載體的矩陣圖，幾乎市面上所有的SIEM或者威脅檢測供應商都已經開始將他們的產品對準MITRE的ATT&CK矩陣了。ATT&CK矩陣在Freebuf裏面也是有如明星幫的存在，太多話題提到了，我這裏也不再詳述。那麼，我們是不是有可能將SPLUNK+SYSMON+ATT&CK關聯起來，實現更爲有效的，更爲簡單的IOC的編寫和偵測呢？

確實，這是可行的。相信大部分使用SYSYMON的童鞋應該都是參考SwiftOnSecurity的配置文件吧，參見： https://github.com/SwiftOnSecurity/sysmon-config 但是，恰恰SwiftOnSecurity的配置文件並沒有映射ATT&CK矩陣，所以只能非常遺憾地將其作爲一個本地的SYSMON日誌記錄配置文件；而另外一位大佬ion-storm，他fork的ThreatIntelligence SIEM的SYSMON配置文件卻剛好做了ATT&CK矩陣的映射，參見： https://github.com/ion-storm/sysmon-config 。

如此，我們就可以想辦法將SPLUNK+SYSMON+ATT&CK關聯起來了，很可惜，這位大佬的文檔已經幾年不更新了，所以他的配置文件需要自行修改。而與此同時，另外一位大佬olafhartong編寫了“sysmon-modular”，分門別類地將SYSMON的各級事件日誌詳細地分類並規整爲一份完整的，系統的ATT&CK矩陣映射的SYSMON配置文件，參見： https://github.com/olafhartong/sysmon-modular ，然後大佬再開發了一個名爲”ThreatHuning”的APP插件，參見： https://github.com/olafhartong/ThreatHunting ，這下就全齊活了。插件可以在Splunkbase下載，參見： https://splunkbase.splunk.com/app/4305/ ，附帶的視頻介紹非常清晰地演示了該插件的用法，參見： https://youtu.be/zcTrXP7scTU 。

如果想要看大佬對SYSMON的演講視頻，EndpointDetection Super Powers in Splunk Demo，參見： http://www.irongeek.com/i.php?page=videos/derbycon9/stable-36-endpoint-detection-super-powers-on-the-cheap-with-sysmon-olaf-hartong 。沒有梯子的同學就只能看我搬磚過來的PDF文件了，鏈接: https://pan.baidu.com/s/1Sg_U4StyBJaelfkAUPlAtg 提取碼: ndqx，這份PPT我就不翻譯了，因爲PPT已經是非常簡潔，清晰，漂亮的一份指南，將如何使用SPLUNK結合SYSMON映射ATT&CK矩陣實現EDR功能介紹的清清楚楚。

當裝好了ThreatHunting插件後，我們就可以在SPLUNK中啓用這個APP，如下圖所示，這張圖通過ATT&CK的映射一一展現了系統被命中的威脅指標情況。

針對主要的幾個界面，我簡單的做下介紹：

這個頁面將主要做數據追蹤使用，將計算機，用戶，文件創建，網絡連接，管道，父子進程等做了非常詳細的一個聚合，可以很輕易的將你關心的數據信息呈現出來。

例如：

該主機分析面板上將主機的所有活動進程進行聚合，可以非常清晰地瞭解到什麼時間，什麼用戶，執行了什麼程序，什麼參數

是否檢測到了Mimikatz的可疑加載

又有哪些進程的對外連接等等

而這個網絡子面板通過搜索源目標和目的目標可以構建一張描敘了所有網絡連接的定向圖，顯示了所有的網絡通信流量所記錄到的主機

這張將顯示DNS申請，可以知道DNS申請是由哪臺機，哪個進程發起的等等。

同樣，可以對內網橫向移動指標進行追蹤，將哪些文件宏也一一進行篩選，如果計算機中出現了未知的文件（Newlyobserved hashes），也將可以進行標記，從而判斷是否屬於病毒的新型變種或者攻擊者使用的某種新型工具等等。

列出宏文件的處理時間

當然，使用SYSMON必然會有很多噪音以及誤報，所以需要大量的人力去進行配置的維護和規則的處理，這個強大的白名單機制可以減輕大量的人工操作，簡單，快捷而有效。

ThreatHunter的功能非常強大和實用，而更多的功能和使用方法還需要大家自己去挖掘，如果有條件，也可以將Windows的事件日誌通過UniversalForwarder發送給Splunk，再結合EventID.net的SPLUNK插件即可實現事件日誌審計，參見： https://splunkbase.splunk.com/app/3067/