EDR-Internals 项目使用教程

EDR-Internals 项目使用教程

edr-internalsTools for analyzing EDR agents项目地址:https://gitcode.com/gh_mirrors/ed/edr-internals

1. 项目的目录结构及介绍

EDR-Internals 项目的目录结构如下：

edr-internals/
├── README.md
├── Enrichment-Rules/
│   ├── rule1.json
│   ├── rule2.json
│   └── ...
├── Heuristics/
│   ├── heuristic1.json
│   ├── heuristic2.json
│   └── ...
└── SONAR/
    ├── signature1.json
    ├── signature2.json
    └── ...

目录介绍

• README.md: 项目介绍文件，包含项目的基本信息和使用说明。
• Enrichment-Rules/: 包含 Symantec EDR 数据丰富规则的目录，每个规则文件以 .json 格式存储。
• Heuristics/: 包含 Symantec EDR 启发式签名的目录，每个签名文件以 .json 格式存储。
• SONAR/: 包含 Symantec SONAR 签名的目录，每个签名文件以 .json 格式存储。

2. 项目的启动文件介绍

项目没有明确的启动文件，因为 EDR-Internals 主要是一个配置和规则集合，用于分析和处理 EDR 数据。用户可以根据需要选择相应的规则或签名文件进行使用。

3. 项目的配置文件介绍

项目中的配置文件主要位于 Enrichment-Rules/, Heuristics/, 和 SONAR/ 目录下，每个文件都是一个独立的配置文件，用于定义特定的规则或签名。

配置文件示例

以下是一个 Enrichment-Rules/ 目录下的规则文件示例：

{
  "rule_id": "12345",
  "description": "This rule enriches EDR data with additional context.",
  "conditions": [
    {
      "field": "event_type",
      "operator": "equals",
      "value": "process_creation"
    }
  ],
  "actions": [
    {
      "type": "add_context",
      "field": "process_name",
      "value": "unknown_process"
    }
  ]
}

配置文件说明

• rule_id: 规则的唯一标识符。
• description: 规则的描述信息。
• conditions: 规则生效的条件列表。
• actions: 满足条件后执行的操作列表。

通过理解和配置这些文件，用户可以自定义 EDR 数据的处理逻辑和行为。

edr-internalsTools for analyzing EDR agents项目地址:https://gitcode.com/gh_mirrors/ed/edr-internals