网络安全应急响应工具(系统痕迹采集)-FireKylin

文章目录

  • 网络安全应急响应工具(系统痕迹采集)-FireKylin
  • 1.FireKylin介绍
      • 【v1.4.0】 2021-12-20
      • 【v1.0.1】 2021-08-09
  • 2.客户端界面
    • Agent支持的操作系统
    • FireKylinAgent界面
      • 使用方式比较
      • 传统方式与FireKylin比较
      • 无法可达目标的场景应用对比
  • 3.使用教程
    • 设置语言
    • Agent配置:
  • 4.工具下载

网络安全应急响应工具(系统痕迹采集)-FireKylin

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

1.FireKylin介绍

FireKylin中文名称叫:火麒麟,其功能是收集操作系统各项痕迹,支持Windows和Linux痕迹收集。其作用是为分析研判安全事件提供操作系统数据。其目的是让任何有上机排查经验和无上机排查经验的人都可以进行上机排查安全事件。

FireKylin的使用方式很简单,将Agent程序上传到需要检测的主机上,运行Agent程序,将采集到的数据.fkld文件下载下来,用界面程序加载数据就可以查看主机中的用户、进程、服务等信息,并且Agent最大的特点就是【0命令采集】对安装了监控功能的安全软件的主机来讲是非常友好的,不会对监控软件产生引起“误报安全事件”的命令。

【v1.4.0】 2021-12-20

中文:
1:*特大更新,集成FireDog病毒检测引擎,支持进程内存、进程路径、进程链接库以及自定义路径病毒检测。
2:*特大更新,对界面的美观程度做了优化。
3:修复windows agent在采集系统日志(事件)时内存占用过高问题。
4:内置与当前版本配套的FireDogEditor。
English:
1: * extra large update, integrated with firedog virus detection engine, supports process memory, process path, process link library and custom path virus detection.
2: * extra large update to optimize the beauty of the interface.
3: Fix the problem that windows agent occupies too much memory when collecting system logs (events).
4: Built in FireDogEditor with the current version.

在这里插入图片描述

【v1.0.1】 2021-08-09

中文:
1:Gui支持Windows。
2:Agent支持Windows和Linux。
3:Agent-Windows支持采集:用户、进程、启动项、服务、网络信息、计划任务、系统日志。
4:Agent-Linux支持采集:用户、进程、启动项、服务、网络信息、历史命令、系统日志。
5:Gui内置中文和英文,支持扩展语言。
English:
1: Gui supports Windows.
2: Agent supports Windows and Linux.
3: Agent-Windows supports collection: users, processes, startup items, services, network information, scheduled tasks, and system logs.
4: Agent-Linux supports collection: users, processes, startup items, services, network information, historical commands, and system logs.
5: Gui has built-in Chinese and English, and supports extended languages.

2.客户端界面

    目前版本更新到了v1.0.1,Agent支持Linux、Windows操作系统,Gui则只支持Windows操作系统。

在这里插入图片描述

Agent支持的操作系统

Agent支持灵活配置采集任务,不仅可以对任务进行开关,也可以针对日志采集进行时间段采集配置,提升采集效率和精确度。

在这里插入图片描述

FireKylinAgent界面

在这里插入图片描述

使用方式比较

    在以往的应急响应中,我们安全专家经常需要一起登陆目标主机,我们可能是通过堡垒机或者直接ssh到目标服务器,意味着安全密钥可能要发放给各个需要研判的安全人员,可能在此过程中就会对秘钥的安全性造成威胁。FireKylin则只需要具有权限的人员进行上机操作,将结果发放给各个安全人员。

在这里插入图片描述

传统方式与FireKylin比较

支持更多的场景
在应急响应中安全专家经常对异地或者远程服务进行安全事件检查,但是远程服务器经常处于无任何接入方法的场景,对于这种场景在传统的解决方案中可能需要具有权限的操作人员使用其他跳板机为安全专家提供远程接入点,但是跳板机经常是具有一定风险的。FireKylin则只需要操作人员运行Agent程序然后将结果发送给我们的安全人员进行事件排查。

无法可达目标的场景应用对比

在这里插入图片描述

3.使用教程

默认的语言是英文,需要在Settings->Language->选择zh-cn点SetLanguage。选择完语言会自动重启GUI,然后就是中文的啦。

设置语言

在这里插入图片描述

Agent配置:

start 开启任务。

print或者ls 打印任务配置。

1=false或者user=false是关闭用户采集任务,其他的雷同。

日志配置比较复杂哦:

在这里插入图片描述

config syslog是查看日志配置项。

config syslog.begintime=2021-01-01 01:01:01 是设置开始采集的时间。结束时间雷同。需要注意的是开始时间设置0则不限制开始事件,结束时间设置为0则不限制结束时间。

4.工具下载

https://github.com/MountCloud/FireKylin/releases/tag/v1.4.0

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/118438.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

掌握文件批量改名的技巧:实现跨文件夹文件统一命名及编号的实用方法“

在日常工作中,我们经常需要处理大量的文件,而这些文件的名字可能各不相同,给我们的管理工作带来了很大的不便。为了解决这个问题,今天我们为您推荐一款全新的文件批量改名工具,它可以帮助您在不同文件夹里的文件进行统…

操作系统复习(3)处理机调度与死锁

一、概述 1.1了解调度的层次 调度是指,在一个队列中,按照某种方法(算法),选择一个合适的个体的过程。进程调度的功能就是按一定策略、动态地把CPU分配给处于就绪队列中的某一进程,并使之执行。 作业调度&…

【qemu逃逸】HWS2017-FastCP

前言 虚拟机用户名:root 虚拟机密码:无密码 本题有符号,所以对于设备定位啥的就不多说了,直接逆向设备吧。 设备逆向 在 realize 函数中设置一个时钟任务,并且可以看到只注册了 mmio,大小为 0x100000。…

小白必看!企业开源知识库管理系统优势和选择

在当今信息爆炸的时代,企业面临着海量的知识和信息需要管理和利用。为了提高团队的协作效率、促进知识共享和创新,越来越多的企业开始关注和采用开源企业知识库管理系统。这种系统为企业提供了一个集中化的平台,用于存储、组织和分享知识资产…

fio数据整理之二

fio数据简单抓取 上文我们完成了一些fio output数据的简单抓取,本文将针对抓取的数据做进一步的处理,输出到表格之中,方便我们查看,统计结果。 本文先使用最简单的方法创建csv档案 我们现有个基本认知,在csv档案中&am…

CBAM:Convolutional Block Attention Module

CBAM(Convolutional Block Attention Module)是一种深度学习领域的注意力机制,旨在增强卷积神经网络对图像特征的建模和表示能力。CBAM引入了通道和空间两种不同的注意力机制,使模型能够动态调整特征图的权重,以适应不…

MVC、MVP、MVVM区别

MVC、MVP、MVVM区别 MVC(Model-View-Controller) 。是一种设计模式,通常用于组织与应用程序的数据流。它通常包括三个组件:模型(Model)、视图(View)和控制器(Controller&…

sql中的加减乘除

自学SQL网(教程 视频 练习全套)

[vmware]vmware虚拟机压缩空间清理空间

vmware中的ubuntu使用如果拷贝文件进去在删除,vmare镜像文件并不会减少日积月累会不断是的真实物理磁盘空间大幅度减少,比如我以前windows操作系统本来只有30GB最后居然占道硬盘200GB,清理方法有2种。 第一种:vmware界面操作 第二…

阿里云服务器省钱购买和使用方法(图文详解)

阿里云服务器使用教程包括云服务器购买、云服务器配置选择、云服务器开通端口号、搭建网站所需Web环境、安装网站程序、域名解析到云服务器公网IP地址,最后网站上线全流程,新手站长xinshouzhanzhang.com分享阿里云服务器详细使用教程: 一&am…

数学建模比赛中常用的建模提示词(数模prompt)

以下为数学建模比赛中常用的建模提示词,希望对你有所帮助! 帮我总结一下数学建模有哪些预测类算法? 灰色预测模型级比检验是什么意思? 描述一下BP神经网络算法的建模步骤 对于分类变量与分类变量相关性分析用什么算法 前10年的数据分别是1&a…

从传统货架到智能货架电子标签PTL仓储亮灯系统的革新

在现代物流仓储行业中,仓库的管理和物料的寻找一直是一个难题。仓库内物料数量种类繁多,寻找物料耗时长、困难大,盘点更是耗费人力多、成本高、速度慢。此外,货物存储位置不清晰,经常性找不到物料。多发、少发、错料现…

centos7安装oxidized备份软件

首先需要提前下载ruby,因为默认yum安装的版本太低 https://cache.ruby-lang.org/pub/ruby/3.1/ruby-3.1.0.tar.gz 1、yum remove ruby ruby-devel(有就卸载,没有则忽略) 2、将下载好的ruby包解压到/opt下 [rootoxidized ruby-…

【广州华锐互动】VR历史古城复原:沉浸式体验古代建筑,感受千年风华!

在科技日新月异的今天,虚拟现实(VR)技术已经成为了我们生活中不可或缺的一部分。从娱乐游戏到医疗健康,从教育培训到房地产销售,VR技术的应用领域日益广泛。而近年来,VR技术在文化遗产保护和古迹复原方面的…

阿里云安全恶意程序检测(速通一)

阿里云安全恶意程序检测 赛题理解赛题介绍赛题说明数据说明评测指标 赛题分析数据特征解题思路 数据探索数据特征类型数据分布箱型图 变量取值分布缺失值异常值分析训练集的tid特征标签分布测试集数据探索同上 数据集联合分析file_id分析API分析 特征工程与基线模型构造特征与特…

【stack题解】最小栈 | 栈的压入、弹出序列

目录 最小栈 思路 ​编辑 实现 栈的压入、弹出序列 思路 实现 需要注意的 最小栈 力扣(LeetCode)官网 - 全球极客挚爱的技术成长平台 设计一个支持 push ,pop ,top 操作,并能在常数时间内检索到最小元素的栈。…

​软考-高级-信息系统项目管理师教程 第四版【第15章-项目风险管理-思维导图】​

软考-高级-信息系统项目管理师教程 第四版【第15章-项目风险管理-思维导图】 课本里章节里所有蓝色字体的思维导图

K8s学习笔记——资源组件篇

引言 前一篇文章我们介绍了K8s的概念理解和常用命令,这篇我们重点介绍K8s的资源组件和相关配置使用。 1. Node & Pod Node: 是 Pod 真正运行的主机,可以是物理机,也可以是虚拟机。为了管理 Pod,每个 Node 节点上至少要运行…

军用机场信息化数字孪生监测平台助力企业运营

随着直升机的不断发展,其在军用和民用领域得到越来越广泛的应用,在民用领域直升机广泛用于客货运输、紧急救援、农林作业、地质勘探、油气开发、公安巡逻等。直升机相关经营数据也逐渐被重视起来,数字孪生公司深圳华锐视点通过web3d开发构建虚…