查看: 22537|回复: 74
收起左侧

[分享] 【暂时停用】自建的Elastic Security(NGAV),免费分享给各位使用(多图杀猫警告)

  [复制链接]
chx818
发表于 2024-4-25 02:21:33 | 显示全部楼层 |阅读模式
本帖最后由 chx818 于 2024-10-16 19:21 编辑

2024/10/16更新 复活了,去新帖看吧 https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2274908


2024/09/22更新

暂时停用了,服务器过期了,在想办法看看去哪弄新的服务器,以及在担心是否会被elastic投诉


2024/04/29更新

添加新组件Data Exfiltration Detection,用途是用于机学时判断有什么数据被泄露了(根据我对描述的理解是这样)


为了方便某些由于网络原因不会下载的群友,我下载好了Windows x64的agent并传到网盘
下载链接:https://musetransfer.com/s/s5am6roho
使用方法:解压后使用带管理员权限的powershell(cmd还是容易出问题,虽然安装时也不是不行,但还是不推荐了)进入解压后的目录下执行安装命令(参考下图)


------------------------------------------------------分割线,下面是正文---------------------------------------------------------------
用ES有一个月了,我以前从来没有用过正经的NGAV,现在用上了ES,感觉机学真的能比传统杀软强出一截


这两天无聊没事做,于是
我这两天专程买了新的服务器,就为了给坛友们搭建ES

这台服务器是我专门买来开给各位坛友用的,我自己用的不是这一台

版本是当前的最新版本,已经开启所有prebuilt security detection rule,Defend安装时选择Complete EDR

怎么安装?:
带rollback的:
Windows:在PowerShell或cmd中以管理员权限运行以下命令
  1. $ProgressPreference = 'SilentlyContinue'

  2. Invoke-WebRequest -Uri https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.13.2-windows-x86_64.zip -OutFile elastic-agent-8.13.2-windows-x86_64.zip

  3. Expand-Archive .\elastic-agent-8.13.2-windows-x86_64.zip -DestinationPath .

  4. cd elastic-agent-8.13.2-windows-x86_64

  5. .\elastic-agent.exe install --url=https://es.114514.ca:2087 --enrollment-token=dU1PMkQ0OEJubkItcDFuUU50QnI6WXpZTE9MUi1RZ0dqSmJQNnhEdVhEdw==
复制代码

Linux(tar方式x86_64,其他方式或aarch64去官网自己下载):在CLI中运行以下命令
  1. curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.13.2-linux-x86_64.tar.gz

  2. tar xzvf elastic-agent-8.13.2-linux-x86_64.tar.gz

  3. cd elastic-agent-8.13.2-linux-x86_64

  4. sudo ./elastic-agent install --url=https://es.114514.ca:2087 --enrollment-token=dU1PMkQ0OEJubkItcDFuUU50QnI6WXpZTE9MUi1RZ0dqSmJQNnhEdVhEdw==
复制代码

Mac(x86,aarch自己去官网下载):在终端中运行以下命令
  1. curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.13.2-darwin-x86_64.tar.gz

  2. tar xzvf elastic-agent-8.13.2-darwin-x86_64.tar.gz

  3. cd elastic-agent-8.13.2-darwin-x86_64

  4. sudo ./elastic-agent install --url=https://es.114514.ca:2087 --enrollment-token=dU1PMkQ0OEJubkItcDFuUU50QnI6WXpZTE9MUi1RZ0dqSmJQNnhEdVhEdw==
复制代码

不带rollback:
Windows:在PowerShell或cmd中以管理员权限运行以下命令
  1. $ProgressPreference = 'SilentlyContinue'

  2. Invoke-WebRequest -Uri https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.13.2-windows-x86_64.zip -OutFile elastic-agent-8.13.2-windows-x86_64.zip

  3. Expand-Archive .\elastic-agent-8.13.2-windows-x86_64.zip -DestinationPath .

  4. cd elastic-agent-8.13.2-windows-x86_64

  5. .\elastic-agent.exe install --url=https://es.114514.ca:2087 --enrollment-token=dXNPNUQ0OEJubkItcDFuUXpORGk6UDdSQ09ORDlSMUtwak5yZVQxbjFUQQ==
复制代码

Linux(tar方式x86_64,其他方式和aarch64去官网自己下载):在CLI中运行以下命令
  1. curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.13.2-linux-x86_64.tar.gz

  2. tar xzvf elastic-agent-8.13.2-linux-x86_64.tar.gz

  3. cd elastic-agent-8.13.2-linux-x86_64

  4. sudo ./elastic-agent install --url=https://es.114514.ca:2087 --enrollment-token=dXNPNUQ0OEJubkItcDFuUXpORGk6UDdSQ09ORDlSMUtwak5yZVQxbjFUQQ==
复制代码

Mac(x86,aarch自己去官网下载):在终端中运行以下命令
  1. curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.13.2-darwin-x86_64.tar.gz

  2. tar xzvf elastic-agent-8.13.2-darwin-x86_64.tar.gz

  3. cd elastic-agent-8.13.2-darwin-x86_64

  4. sudo ./elastic-agent install --url=https://es.114514.ca:2087 --enrollment-token=dXNPNUQ0OEJubkItcDFuUXpORGk6UDdSQ09ORDlSMUtwak5yZVQxbjFUQQ==
复制代码

如果运行命令的时候遇到网络问题导致agent下载不下来的话,去官网https://www.elastic.co/cn/downloads/elastic-agent下载需要的版本,解压之后以管理员权限去解压目录运行剩下的安装命令和enroll就可以了(奶牛快传上传不了,我又没权限上传大附件)

安装好之后没有界面,看到install success就是装上了
选了有rollback策略的可以去安全中心看看有没有注册上


也可以去任务管理器看看有没有elastic defend

安装后没有界面,只会在后台运行,检测到病毒后直接删除文件(本地机学)或阻止运行,并根据策略决定是否会rollback

阻止了病毒会有通知

有什么区别?:rollback可能会造成数据丢失,同时在解压有多个病毒的毒包时如果ES短时间内检测到了多个病毒的情况下会触发rollback一次性回滚所有改动,因此为了方便想要批量测试ES机学的特殊情况,我同时设置了两套策略,一个是开启rollback并在安全中心内注册杀软,可以直接用于想要NGAV单奔的坛友,另外一个是关闭rollback,但关闭安全中心中心注册,使其可以实现在没有安装其他杀软的时候与MD共存,方便某些想要拿NGAV作为补充的坛友。

怎么卸载?:

带rollback的:
Windows:在PowerShell(不可以用cmd)中以管理员权限运行以下命令
  1. C:"Program Files"\Elastic\Agent\elastic-agent.exe uninstall --uninstall-token efa6344075795b560db9382585daad53
复制代码

Linux or Mac:在终端中运行以下命令
  1. sudo elastic-agent uninstall --uninstall-token efa6344075795b560db9382585daad53
复制代码

不带rollback:
Windows:在PowerShell(不可以用cmd)中以管理员权限运行以下命令
  1. C:"Program Files"\Elastic\Agent\elastic-agent.exe uninstall --uninstall-token d7ce2cd6ed6d1b138c8b7e5b63c84c30
复制代码

Linux or Mac:在终端中运行以下命令
  1. sudo elastic-agent uninstall --uninstall-token d7ce2cd6ed6d1b138c8b7e5b63c84c30
复制代码

其他平台?enroll/uninstall key都给你们了,自己去官网下agent去,还有其他平台需求的也应该不会技术差到还要我来提供命令吧?

使用注意事项(来自 @隔山打空气 大佬的提醒)其实我准备自己也说点的,但大佬说的这么全面我也就懒得自己想了直接截图复制粘贴好了(小声
1. Elastic Defend现在对中日等等语言的处理存在问题,请不要将其用于实体机,在测试时请务必避免其中存在这些字符。
[tips]由于此不可控问题的存在,您不必采信任何在细节上不明确的Elastic Defend的测试结果。
2. Elastic Defend是完整的EPP解决方案,其使用的检测技术细节尚不完全明朗,在和其他杀软/安全辅助工具配合时可能导致不可控与难以发现的冲突,故搭配使用时请三思。
[tips]同样的,您不必采信任何与Elastic Defend搭配的杀软共同测试的结果作为实际能力评定的参考。
3. Elastic Security包含NGAV+EDR解决方案,使用时切勿在测试机上留存任何敏感数据以免数据泄露风险。



(我还是说两句吧)我在正常情况下不会管这机器上面的日志,这就是为什么我要直接单独开一台新的服务器来配置给坛友们用的ES的原因,这样我在看我自己的日志的时候就不会看到坛友们设备上报的日志,如果担心隐私问题的请勿在生产环境上使用,此外如果遇到了问题(例如遇到了没杀干净的残留又不知道在哪需要edr记录的)情况下可以提供hostname和截图证明来找我调日志。
另外我还发现这玩意会和HMPA起冲突,装一起之后一开机HMPA会不停的阻止Defend启动,我最后删掉了HMPA

下面是规则(没截图的即是保持默认)




请注意:未开启rollback的策略中的安全中心注册为关闭状态







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 13魅力 +1 人气 +36 收起 理由
白露为霜 + 1 精彩分享
BitterLotus + 3 版区有你更精彩: )
丶落笔映惆怅ぃ + 3 牛逼克拉斯
1312773569 + 3 赞一个!
swizzer + 1

查看全部评分

DisaPDB
发表于 2024-4-25 07:17:51 | 显示全部楼层
编码问题解决了吗
小声bb:注释掉LicenseVerifier.java和XPackBuild.java然后重新打包,有惊喜
隔山打空气
发表于 2024-4-25 08:05:03 | 显示全部楼层
DisaPDB 发表于 2024-4-25 07:17
编码问题解决了吗
小声bb:注释掉LicenseVerifier.java和XPackBuild.java然后重新打包,有惊喜

没有,yyds还在努力跟ES提交问题()

评分

参与人数 1人气 +1 收起 理由
DisaPDB + 1

查看全部评分

chx818
 楼主| 发表于 2024-4-25 10:44:50 | 显示全部楼层
本帖最后由 chx818 于 2024-4-25 17:40 编辑
DisaPDB 发表于 2024-4-25 07:17
编码问题解决了吗
小声bb:注释掉LicenseVerifier.java和XPackBuild.java然后重新打包,有惊喜

这不就是正常流程(
wajika
发表于 2024-4-25 11:19:20 | 显示全部楼层
chx818 发表于 2024-4-25 10:44
这不就是正常流程(

注释哪个包?现在都不用破解了吗
DisaPDB
发表于 2024-4-25 11:55:46 | 显示全部楼层
wajika 发表于 2024-4-25 11:19
注释哪个包?现在都不用破解了吗

就是破解的流程
Elastic对正版校验确实不怎么样(
huang9527
发表于 2024-4-25 13:17:22 | 显示全部楼层
豆芽文看不懂啊
我是风我是风
发表于 2024-4-25 14:00:20 | 显示全部楼层
门槛还是有点高哦
神龟Turmi
发表于 2024-4-25 16:07:21 | 显示全部楼层
DisaPDB 发表于 2024-4-25 11:55
就是破解的流程
Elastic对正版校验确实不怎么样(

不怎么样(×
连着授权验证代码都开源了(√
神龟Turmi
发表于 2024-4-25 16:53:23 | 显示全部楼层

友情提示 Fleet的自签名SSL CN为hostname
你楼里的截图又漏出来了部分主机名 导致源站IP泄漏
赶紧把SSL换了吧


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:57 , Processed in 0.128128 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表