搭建 EDR 测试环境

微软 MDE

https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-endpoints-script?view=o365-worldwide 

Elastic EDR

https://newtonpaul.com/how-to-install-elastic-siem-and-elastic-edr/#Installing_Elastic_EDR_Agent 

https://caueb.com/attackdefense/elasticonraspberrypi/ 

为了能成功搭建 Elastic EDR 的环境，我们需要安装与配置多个组件: Elastic Search，Kibana，Fleet。

apt-get install curl apt-transport-https

curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-7.x.list
apt-get update
apt-get install elasticsearch 

以 root 身份编辑 /etc/elasticsearch/elasticsearch.yml 文件

编辑 network.host 属性

修改 node.name 以及cluster.initial_master_nodes 属性，可以都设置为 node-1。

启动 elasticsearch 服务。

验证 elasticsearch 已经在运行

然后，安装 kibana

编辑 /etc/kibana/kibana.yml 文件

修改下述 2 个属性：

启动 kibana