gnaixnaij/guardian

GitHub: gnaixnaij/guardian

Guardian 是一款免费轻量级的端点检测与响应工具,为无力购买商业 EDR 的小型团队提供进程、文件和网络监控与基于 YAML 规则的威胁检测能力。

Stars: 0 | Forks: 0

# Guardian — 免费 EDR 轻量级、免费的端点检测与响应(EDR)工具,专为无力购买商业 EDR 许可证的小型团队设计。 ## 快速开始 ``` pip install -r requirements.txt python guardian.py # 打开 http://127.0.0.1:5000 ``` ## 功能 - **进程监控** — 检测新进程,标记可疑工具(mimikatz、bloodhound 等) - **PowerShell 检测** — 捕获编码命令、下载载体和 IEX 模式 - **文件监控** — 监视 temp 目录中的新文件 - **网络监控** — 追踪活动连接 - **Web 仪表盘** — 在浏览器中实时查看告警 - **YAML 规则** — 支持自定义检测规则 ## 检测规则 内置规则可检测: - 已知的攻击工具(Mimikatz、BloodHound、CrackMapExec 等) - 可疑的 PowerShell(编码命令、下载字符串、AMSI 绕过) - CLI 下载工具(curl、wget、certutil) - 敏感目录中的新文件 在 `detector/rules/` 目录下以 YAML 文件格式添加自定义规则。 ## 使用说明 ``` # 运行带 dashboard(默认) python guardian.py # 运行 headless(无 web UI) python guardian.py --headless # 运行 60 秒后退出 python guardian.py --duration 60 # 自定义端口 python guardian.py --port 8080 ``` ## 环境要求 - Python 3.8+ - Linux 或 Windows - 用于进程/网络监控的 psutil ## 部署 ``` # 后台服务(Linux) nohup python guardian.py --port 5000 & # 或使用 systemd 实现持久化 ``` ## 许可证 MIT
标签:EDR, Python, YAML规则, 无后门, 终端安全, 网络信息收集, 脆弱性评估, 逆向工具