Herramientas: los sistemas #EDR

Descubre cómo los sistemas #EDR están revolucionando la seguridad informática con herramientas como #whids. Este EDR utiliza eventos predefinidos de Windows para detectar incidentes y enviar notificaciones instantáneas. Una solución imprescindible para la protección de redes. Aunque carece de GUI, su capacidad autónoma lo convierte en una herramienta a seguir de cerca.

Sistemas EDR de InformaticaSegura.es

Se están poniendo de moda los sistemas #EDR (sistemas de detección de problemas de seguridad en equipos de red y usuario), vamos que monitorizan los sistemas y envían alarmas.

Pues bien, una de estas herramientas es el #whids (https://github.com/0xrawsec/whids)

Lo que hace a grandes rasgos es asignar eventos predefinidos de Windows a reglas definidas por el usuario. Al detectar un incidente desencadena una notificación de incidente que inicia la recopilación de eventos (archivo, registro, memoria de proceso). De esta manera, puede estar seguro de recolectar eventos lo más rápido posible.

Funcionalidades:

• usa la utilidad #Sysmon
• motor de detección totalmente personalizable
• no se inyecta en los procesos
• puede coexistir con cualquier producto antivirus (se recomienda utilizarlo junto con #MSDefender)
• diseñado para un alto rendimiento. Puede analizar fácilmente 4 millones de eventos por día por punto final sin sacrificar el rendimiento.
• se integra fácilmente con otras herramientas (#Splunk, #ELK, #MISP ...)
• integrado con el marco ATT & CK
• lamentablemente no es compatible con el seguimiento de eventos para Windows
• El agente EDR puede ejecutarse de forma autónoma

Lo malo es que a día de hoy no dispone de un GUI. Aun así hay que seguirle la pista.