whids: un EDR de código abierto

Whids de RawSec es un EDR open source que recopila artefactos (archivo, registro, memoria de proceso) basados en la detección, es decir, puede recogerlos casi en tiempo real. El motor de detección se basa en el proyecto Gene diseñado para matchear eventos de Windows con las reglas definidas por el usuario.

Los principales objetivos de este EDR son:

  • Proporcionar un EDR de código abierto a la comunidad
  • Transparencia en las reglas de detección para que los analistas entiendan por qué se activó una regla
  • Ofrecer poderosas primitivas de detección a través de un motor de reglas flexible
  • Optimizar los procesos de respuesta a incidentes al reducir drásticamente el tiempo entre la detección y la recolección de artefactos    

El esquema global de funcionamiento es el siguiente, si bien el EDR puede funcionar también en modo standalone:

Fortalezas

  • Código abierto
  • Confía en Sysmon para todo el trabajo pesado (componente del kernel)
  • Motor de detección muy potente pero también personalizable
  • Creado por un incident responder para que el resto hagan su trabajo más fácil
  • Footprint reducida (sin inyección de proceso)
  • Puede coexistir con cualquier producto antivirus (se recomienda ejecutarlo junto con MS Defender)
  • Diseñado para tener un alto rendimiento. Puede enriquecer y analizar fácilmente 4 millones de eventos al día por endpoint sin apenas impacto.  
  • Fácilmente integrable con otras herramientas (Splunk, ELK, MISP...)
  • Integrado con el marco ATT&CK

Debilidades

  • Solo funciona en Windows
  • Detección limitada a lo que está disponible en el event log de Windows
  • Sin instrumentación de procesos (también es un punto fuerte ya que depende de puntos de vista)
  • No hay GUI... todavía
  • Sin soporte para ETW (disponible en beta)

Más info y URL del proyecto: https://github.com/0xrawsec/whids


Comentarios