System ochrony endpointów (EDR/XDR)

Cel projektu

Celem projektu było stworzenie środowiska testowego, które symuluje działanie systemu EDR/XDR (Endpoint Detection and Response / Extended Detection and Response). Projekt miał pokazać, jak można monitorować, wykrywać i reagować na incydenty bezpieczeństwa w sieci firmowej przy użyciu dostępnych narzędzi i technik open source.

Zakres projektu

  1. Przygotowanie środowiska testowego
    • Utworzenie trzech maszyn wirtualnych (Windows 10, Windows Server 2022, Ubuntu).
    • Konfiguracja podstawowej sieci wewnętrznej w VirtualBox / Hyper-V.
  2. Instalacja i konfiguracja agenta EDR
    • Wykorzystanie narzędzi typu open source: Wazuh (OSSEC fork) lub Velociraptor.
    • Konfiguracja agenta monitorującego logi systemowe, procesy i połączenia sieciowe.
  3. Symulacja ataków i incydentów
    • Testy z wykorzystaniem narzędzi: Metasploit, Atomic Red Team, Kali Linux.
    • Analiza wykrycia prób eskalacji uprawnień, uruchomienia podejrzanego procesu i modyfikacji rejestru.
  4. Reakcja i analiza incydentu
    • Opracowanie prostego playbooka IR (Incident Response): wykrycie → analiza → izolacja → raport.
    • Automatyczna izolacja hosta po detekcji określonego alertu.
  5. Raportowanie i wizualizacja
    • Konfiguracja dashboardu w Wazuh Dashboard / Kibana.
    • Tworzenie raportów o aktywności systemowej i zagrożeniach.

Użyte technologie i narzędzia

  • Wazuh / OSSEC – system EDR/XDR open source
  • Elastic Stack (Elasticsearch, Logstash, Kibana) – wizualizacja logów
  • PowerShell, Bash, Sysmon – skrypty i logowanie systemowe
  • MITRE ATT&CK – klasyfikacja typów ataków
  • VirtualBox / Hyper-V – środowisko testowe

Wyniki projektu

  • Udało się wykryć i sklasyfikować kilka typowych prób ataku (m.in. privilege escalation, suspicious process creation).
  • System poprawnie zareagował na zagrożenia i przesłał alerty do konsoli zarządzania.
  • Opracowany został prosty model reakcji na incydent, który można zastosować w realnym środowisku firmowym.

Wnioski i rozwój projektu

Projekt pozwolił mi zdobyć praktyczne doświadczenie z:

  • konfiguracją i analizą systemu EDR/XDR,
  • pracą z logami i dashboardami bezpieczeństwa,
  • rozumieniem cyklu życia incydentu bezpieczeństwa.

W kolejnych etapach planuję:

  • zintegrować system EDR z SIEM (np. Graylog lub Splunk Free),
  • wdrożyć automatyczne reagowanie (SOAR),
  • rozszerzyć testy o ataki typu ransomware i phishing.

Kluczowe umiejętności zaprezentowane w projekcie:

✅ Konfiguracja i zarządzanie EDR/XDR
✅ Analiza logów i reagowanie na incydenty
✅ Automatyzacja zadań bezpieczeństwa
✅ Symulacja ataków i testowanie obrony
✅ Dokumentowanie i raportowanie wyników

Eng.

Endpoint Protection System (EDR/XDR)

Lab Project – Cybersecurity / Blue Team

I built a test environment demonstrating how an EDR/XDR system monitors, detects, and responds to security incidents.
The project used open-source tools such as Wazuh, Elastic Stack, Sysmon, and MITRE ATT&CK to analyze system behavior during simulated attacks.

🔹 Configured EDR agents to monitor processes, logs, and network traffic.
🔹 Simulated attacks (privilege escalation, malware, suspicious processes).
🔹 Automated basic incident response (host isolation, alerts).
🔹 Created dashboards and visual threat reports in Kibana.

Result:
Improved visibility into system activity, effective incident detection, and creation of a basic Incident Response playbook.

Technologies:
Wazuh, OSSEC, Sysmon, Elastic Stack, PowerShell, Bash, MITRE ATT&CK, VirtualBox

 

 

Powiązane projekty

/