搭建 EDR 测试环境

微软 MDE

https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-endpoints-script?view=o365-worldwide 

Elastic EDR

https://newtonpaul.com/how-to-install-elastic-siem-and-elastic-edr/#Installing_Elastic_EDR_Agent 

https://caueb.com/attackdefense/elasticonraspberrypi/ 

配置 Elastic Stack 以及 EDR 是个比较繁琐的任务，因此我们将用 Docker 简化这一过程。

我们将分别安装 Elasticsearch，Kibana，以及 Fleet。

卸载所有冲突的包：

for pkg in docker.io docker-doc docker-compose podman-docker containerd runc; do sudo apt-get remove $pkg; done

设置 docker 仓库

sudo apt-get update
sudo apt-get install ca-certificates curl gnupg

添加 Docker 的官方 PGP 密钥。

sudo install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
sudo chmod a+r /etc/apt/keyrings/docker.gpg

配置仓库：

echo "deb [arch="$(dpkg --print-architecture)" signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu "$(. /etc/os-release && echo "$VERSION_CODENAME")" stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

更新 APT 包索引

安装 docker 引擎

apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

安装依赖

apt-get install jq git curl

克隆仓库