gnaixnaij/guardian
GitHub: gnaixnaij/guardian
Guardian 是一款免费轻量级的端点检测与响应工具,为无力购买商业 EDR 的小型团队提供进程、文件和网络监控与基于 YAML 规则的威胁检测能力。
Stars: 0 | Forks: 0
# Guardian — 免费 EDR
轻量级、免费的端点检测与响应(EDR)工具,专为无力购买商业 EDR 许可证的小型团队设计。
## 快速开始
```
pip install -r requirements.txt
python guardian.py
# 打开 http://127.0.0.1:5000
```
## 功能
- **进程监控** — 检测新进程,标记可疑工具(mimikatz、bloodhound 等)
- **PowerShell 检测** — 捕获编码命令、下载载体和 IEX 模式
- **文件监控** — 监视 temp 目录中的新文件
- **网络监控** — 追踪活动连接
- **Web 仪表盘** — 在浏览器中实时查看告警
- **YAML 规则** — 支持自定义检测规则
## 检测规则
内置规则可检测:
- 已知的攻击工具(Mimikatz、BloodHound、CrackMapExec 等)
- 可疑的 PowerShell(编码命令、下载字符串、AMSI 绕过)
- CLI 下载工具(curl、wget、certutil)
- 敏感目录中的新文件
在 `detector/rules/` 目录下以 YAML 文件格式添加自定义规则。
## 使用说明
```
# 运行带 dashboard(默认)
python guardian.py
# 运行 headless(无 web UI)
python guardian.py --headless
# 运行 60 秒后退出
python guardian.py --duration 60
# 自定义端口
python guardian.py --port 8080
```
## 环境要求
- Python 3.8+
- Linux 或 Windows
- 用于进程/网络监控的 psutil
## 部署
```
# 后台服务(Linux)
nohup python guardian.py --port 5000 &
# 或使用 systemd 实现持久化
```
## 许可证
MIT
标签:EDR, Python, YAML规则, 无后门, 终端安全, 网络信息收集, 脆弱性评估, 逆向工具