【4.29更新】自建的Elastic Security(NGAV)，免费分享给各位使用(多图杀猫警告)

chx818

2024/04/29更新
添加新组件Data Exfiltration Detection，用途是用于机学时判断有什么数据被泄露了（根据我对描述的理解是这样）


为了方便某些由于网络原因不会下载的群友，我下载好了Windows x64的agent并传到网盘下载链接：https://musetransfer.com/s/s5am6roho
使用方法：解压后使用带管理员权限的powershell（cmd还是容易出问题，虽然安装时也不是不行，但还是不推荐了）进入解压后的目录下执行安装命令（参考下图）


------------------------------------------------------分割线，下面是正文---------------------------------------------------------------
用ES有一个月了，我以前从来没有用过正经的NGAV，现在用上了ES，感觉机学真的能比传统杀软强出一截

这两天无聊没事做，于是
我这两天专程买了新的服务器，就为了给坛友们搭建ES

这台服务器是我专门买来开给各位坛友用的，我自己用的不是这一台

版本是当前的最新版本，已经开启所有prebuilt security detection rule，Defend安装时选择Complete EDR

怎么安装？：
带rollback的：
Windows：在PowerShell或cmd中以管理员权限运行以下命令

1. $ProgressPreference = 'SilentlyContinue'
   
2. 
   
3. Invoke-WebRequest -Uri https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.13.2-windows-x86_64.zip -OutFile elastic-agent-8.13.2-windows-x86_64.zip
   
4. 
   
5. Expand-Archive .\elastic-agent-8.13.2-windows-x86_64.zip -DestinationPath .
   
6. 
   
7. cd elastic-agent-8.13.2-windows-x86_64
   
8. 
   
9. .\elastic-agent.exe install --url=https://es.114514.ca:2087 --enrollment-token=dU1PMkQ0OEJubkItcDFuUU50QnI6WXpZTE9MUi1RZ0dqSmJQNnhEdVhEdw==

复制代码

Linux（tar方式x86_64，其他方式或aarch64去官网自己下载）：在CLI中运行以下命令

1. curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.13.2-linux-x86_64.tar.gz
   
2. 
   
3. tar xzvf elastic-agent-8.13.2-linux-x86_64.tar.gz
   
4. 
   
5. cd elastic-agent-8.13.2-linux-x86_64
   
6. 
   
7. sudo ./elastic-agent install --url=https://es.114514.ca:2087 --enrollment-token=dU1PMkQ0OEJubkItcDFuUU50QnI6WXpZTE9MUi1RZ0dqSmJQNnhEdVhEdw==

复制代码

Mac（x86，aarch自己去官网下载）：在终端中运行以下命令

1. curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.13.2-darwin-x86_64.tar.gz
   
2. 
   
3. tar xzvf elastic-agent-8.13.2-darwin-x86_64.tar.gz
   
4. 
   
5. cd elastic-agent-8.13.2-darwin-x86_64
   
6. 
   
7. sudo ./elastic-agent install --url=https://es.114514.ca:2087 --enrollment-token=dU1PMkQ0OEJubkItcDFuUU50QnI6WXpZTE9MUi1RZ0dqSmJQNnhEdVhEdw==

复制代码

不带rollback：
Windows：在PowerShell或cmd中以管理员权限运行以下命令

1. $ProgressPreference = 'SilentlyContinue'
   
2. 
   
3. Invoke-WebRequest -Uri https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.13.2-windows-x86_64.zip -OutFile elastic-agent-8.13.2-windows-x86_64.zip
   
4. 
   
5. Expand-Archive .\elastic-agent-8.13.2-windows-x86_64.zip -DestinationPath .
   
6. 
   
7. cd elastic-agent-8.13.2-windows-x86_64
   
8. 
   
9. .\elastic-agent.exe install --url=https://es.114514.ca:2087 --enrollment-token=dXNPNUQ0OEJubkItcDFuUXpORGk6UDdSQ09ORDlSMUtwak5yZVQxbjFUQQ==

复制代码

Linux（tar方式x86_64，其他方式和aarch64去官网自己下载）：在CLI中运行以下命令

1. curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.13.2-linux-x86_64.tar.gz
   
2. 
   
3. tar xzvf elastic-agent-8.13.2-linux-x86_64.tar.gz
   
4. 
   
5. cd elastic-agent-8.13.2-linux-x86_64
   
6. 
   
7. sudo ./elastic-agent install --url=https://es.114514.ca:2087 --enrollment-token=dXNPNUQ0OEJubkItcDFuUXpORGk6UDdSQ09ORDlSMUtwak5yZVQxbjFUQQ==

复制代码

Mac（x86，aarch自己去官网下载）：在终端中运行以下命令

1. curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.13.2-darwin-x86_64.tar.gz
   
2. 
   
3. tar xzvf elastic-agent-8.13.2-darwin-x86_64.tar.gz
   
4. 
   
5. cd elastic-agent-8.13.2-darwin-x86_64
   
6. 
   
7. sudo ./elastic-agent install --url=https://es.114514.ca:2087 --enrollment-token=dXNPNUQ0OEJubkItcDFuUXpORGk6UDdSQ09ORDlSMUtwak5yZVQxbjFUQQ==

复制代码

如果运行命令的时候遇到网络问题导致agent下载不下来的话，去官网https://www.elastic.co/cn/downloads/elastic-agent下载需要的版本，解压之后以管理员权限去解压目录运行剩下的安装命令和enroll就可以了（奶牛快传上传不了，我又没权限上传大附件）

安装好之后没有界面，看到install success就是装上了
选了有rollback策略的可以去安全中心看看有没有注册上


也可以去任务管理器看看有没有elastic defend

安装后没有界面，只会在后台运行，检测到病毒后直接删除文件（本地机学）或阻止运行，并根据策略决定是否会rollback

阻止了病毒会有通知

有什么区别？：rollback可能会造成数据丢失，同时在解压有多个病毒的毒包时如果ES短时间内检测到了多个病毒的情况下会触发rollback一次性回滚所有改动，因此为了方便想要批量测试ES机学的特殊情况，我同时设置了两套策略，一个是开启rollback并在安全中心内注册杀软，可以直接用于想要NGAV单奔的坛友，另外一个是关闭rollback，但关闭安全中心中心注册，使其可以实现在没有安装其他杀软的时候与MD共存，方便某些想要拿NGAV作为补充的坛友。

怎么卸载？：
带rollback的：
Windows：在PowerShell（不可以用cmd）中以管理员权限运行以下命令

1. C:"Program Files"\Elastic\Agent\elastic-agent.exe uninstall --uninstall-token efa6344075795b560db9382585daad53

复制代码

Linux or Mac：在终端中运行以下命令

1. sudo elastic-agent uninstall --uninstall-token efa6344075795b560db9382585daad53

复制代码

不带rollback：
Windows：在PowerShell（不可以用cmd）中以管理员权限运行以下命令

1. C:"Program Files"\Elastic\Agent\elastic-agent.exe uninstall --uninstall-token d7ce2cd6ed6d1b138c8b7e5b63c84c30

复制代码

Linux or Mac：在终端中运行以下命令

1. sudo elastic-agent uninstall --uninstall-token d7ce2cd6ed6d1b138c8b7e5b63c84c30

复制代码

其他平台？enroll/uninstall key都给你们了，自己去官网下agent去，还有其他平台需求的也应该不会技术差到还要我来提供命令吧？

使用注意事项（来自 @隔山打空气 大佬的提醒）：其实我准备自己也说点的，但大佬说的这么全面我也就懒得自己想了直接截图复制粘贴好了（小声

1. Elastic Defend现在对中日等等语言的处理存在问题，请不要将其用于实体机，在测试时请务必避免其中存在这些字符。

[tips]由于此不可控问题的存在，您不必采信任何在细节上不明确的Elastic Defend的测试结果。

2. Elastic Defend是完整的EPP解决方案，其使用的检测技术细节尚不完全明朗，在和其他杀软/安全辅助工具配合时可能导致不可控与难以发现的冲突，故搭配使用时请三思。

[tips]同样的，您不必采信任何与Elastic Defend搭配的杀软共同测试的结果作为实际能力评定的参考。

3. Elastic Security包含NGAV+EDR解决方案，使用时切勿在测试机上留存任何敏感数据以免数据泄露风险。

（我还是说两句吧）我在正常情况下不会管这机器上面的日志，这就是为什么我要直接单独开一台新的服务器来配置给坛友们用的ES的原因，这样我在看我自己的日志的时候就不会看到坛友们设备上报的日志，如果担心隐私问题的请勿在生产环境上使用，此外如果遇到了问题（例如遇到了没杀干净的残留又不知道在哪需要edr记录的）情况下可以提供hostname和截图证明来找我调日志。
另外我还发现这玩意会和HMPA起冲突，装一起之后一开机HMPA会不停的阻止Defend启动，我最后删掉了HMPA

下面是规则（没截图的即是保持默认）




请注意：未开启rollback的策略中的安全中心注册为关闭状态

DisaPDB

编码问题解决了吗
小声bb：注释掉LicenseVerifier.java和XPackBuild.java然后重新打包，有惊喜

隔山打空气

DisaPDB 发表于 2024-4-25 07:17
编码问题解决了吗
小声bb：注释掉LicenseVerifier.java和XPackBuild.java然后重新打包，有惊喜

没有，yyds还在努力跟ES提交问题（）

chx818

DisaPDB 发表于 2024-4-25 07:17
编码问题解决了吗
小声bb：注释掉LicenseVerifier.java和XPackBuild.java然后重新打包，有惊喜

这不就是正常流程（

wajika

chx818 发表于 2024-4-25 10:44
这不就是正常流程（

注释哪个包？现在都不用破解了吗

DisaPDB

wajika 发表于 2024-4-25 11:19
注释哪个包？现在都不用破解了吗

就是破解的流程
Elastic对正版校验确实不怎么样（

huang9527

豆芽文看不懂啊

我是风我是风

门槛还是有点高哦

神龟Turmi

DisaPDB 发表于 2024-4-25 11:55
就是破解的流程
Elastic对正版校验确实不怎么样（

不怎么样（×
连着授权验证代码都开源了（√

神龟Turmi

友情提示 Fleet的自签名SSL CN为hostname
你楼里的截图又漏出来了部分主机名 导致源站IP泄漏
赶紧把SSL换了吧