EDR数据完整性与防篡改机制

📚 共计 30 章节
01
EDR数据完整性概述
什么是数据完整性 · 为什么EDR需要防篡改 · 常见威胁模型分析
基础威胁模型
02
哈希算法基础
MD5/SHA-1/SHA-256原理对比 · 哈希碰撞与安全性 · EDR应用场景
密码学哈希
03
数字签名技术
非对称加密基础 · RSA与ECDSA签名 · 签名验证流程 · 日志签名实践
签名PKI
04
Merkle树与区块链
Merkle树结构 · 哈希链原理 · 区块链日志审计 · 轻量级方案
区块链审计
05
可信执行环境(TEE)
Intel SGX/AMD SEV · 飞地概念 · EDR Agent应用 · 远程证明
TEESGX
06
TPM与安全芯片
TPM 2.0规范 · PCR · 度量启动 · 密钥存储与密封
硬件TPM
07
日志防篡改架构
集中vs分布式 · 写前日志(WAL) · 日志轮转校验 · 不可变存储
架构WAL
08
数据完整性校验策略
实时vs定期校验 · 校验点设计 · 失败处理 · 性能优化
策略校验
09
安全时间戳服务
NTP安全扩展 · PKI时间戳 · 权威性 · 时间同步攻击防御
时间戳NTP
10
访问控制与权限管理
最小权限 · RBAC/ABAC · SELinux/AppArmor · 特权分离
权限SELinux
11
内核级防护机制
eBPF与LSM钩子 · 内核模块签名 · 系统调用监控 · 完整性度量
内核eBPF
12
文件完整性监控(FIM)
Tripwire/AIDE原理 · 文件属性监控 · 实时变更检测 · 白名单
FIM监控
13
进程内存保护
ASLR/DEP · 代码签名强制 · 内存扫描校验 · 反调试注入
内存保护
14
网络数据完整性
TLS/mTLS · 证书固定 · gRPC双向认证 · 消息认证码(MAC)
网络mTLS
15
配置与策略保护
配置文件加密 · 策略签名验证 · 版本控制回滚 · 安全分发
配置策略
16
数据库完整性
事务日志保护 · 行级签名 · 审计触发器 · 防SQL注入篡改
数据库审计
17
容器环境防护
镜像签名验证 · 运行时完整性 · K8s准入控制器 · 不可变基础设施
容器K8s
18
云原生EDR完整性
服务网格安全 · Sidecar代理 · 对象锁定 · IaC安全
云原生服务网格
19
事件溯源与CQRS
事件存储不可变 · 命令查询分离 · 事件重放校验 · 审计溯源
CQRS溯源
20
密钥管理最佳实践
HSM/KMS · 密钥生命周期 · 轮转策略 · 泄露应急响应
密钥HSM
21
安全审计与合规
SOC2/NIST/ISO27001 · 审计日志格式 · 合规报告 · 取证分析
合规审计
22
攻击场景分析
日志擦除 · 时间戳篡改 · 中间人 · 供应链 · Rootkit篡改
攻击红队
23
检测与响应机制
完整性告警阈值 · 自动隔离 · 取证快照 · 事件关联分析
检测响应
24
性能与安全平衡
校验频率优化 · 异步校验 · 缓存策略 · 资源隔离限流
性能优化
25
灾难恢复与备份
不可变备份 · 异地备份 · 备份完整性验证 · 快速恢复
备份容灾
26
开源工具实践
Wazuh/Osquery/Sysmon/OSSEC · 配置集成 · 自定义规则
开源Wazuh
27
EDR Agent自我保护
进程守护 · 文件/注册表/内存保护 · 防卸载机制
Agent自保
28
数据完整性测试框架
自动化测试 · 混沌工程 · 压力测试 · 完整性基准线
测试混沌
29
未来趋势与挑战
量子计算威胁 · 同态加密 · 零知识证明 · AI异常检测
前沿量子
30
综合实战项目
轻量级EDR完整性保护系统 · Agent/Server/Dashboard
实战全栈