DFIRTrack:一款功能強大的事件應急響應跟蹤軟體
前言
DFIRTrack(Digital Forensics and Incident Response Tracking application),即數字取證和事件響應跟蹤應用程式。它是一款開源的Web應用程式,基於 Django 開發,後端資料庫為 PostgreSQL 資料庫。
DFIRTrack專注於處理一個重大安全事件,其中需要涉及到多個受影響的系統,這也符合很多APT攻擊事件的特性。在大型網路攻擊事件場景下,它可以被用作專門的事件響應工具。當然了,CERT和SOC也可以使用DFIRTrack,不過它只能在特殊情況下使用,並不適用於日常響應工作。
功能介紹
DFIRTrack跟其他基於事件案例的應用程式不同,它以基於系統的方式執行,它能夠跟蹤各種系統的狀態以及相關的任務,來幫助分析人員在事件的調查階段以及響應階段瞭解受影響系統的狀態和數量。
它的主要功能之一就是快速匯出受影響系統的相關資訊,並給技術人員以電子表格的形式提供詳細的安全報告,而且資料集中不存在任何冗餘資料或偏差。
目前該工具支援以下功能:
1、 匯入器
a) 系統及任務建立工具(通過Web介面快速建立多個相關例項) b) CSV(基於CSV生成和匯入,解和主機名、IP及Web表單) c) 標記實體
2、 匯出器
a) 標註系統報告(MkDocs結構) b) 電子表格(CSV和XLS) c) LaTeX
工具安裝及依賴元件
DFIRTrack支援Debian Stretch或Ubuntu 16.04,其他Debian發行版理論上同樣支援,但未進行過測試。
工具的編譯安裝,請參考Ansible Playbook:【 傳送門 】
該工具至少需要以下依賴元件:
django(2.0), django_q, djangorestframework, gunicorn, postgresql, psycopg2-binary, python3-pip, PyYAML, requests, virtualenv, xlwt.
請注意,程式碼庫中沒有提供settings.py,大家可以點選【 這裡 】獲取。
Docker環境
專案提供了僅支援本地使用的Docker實驗環境,在專案主目錄下執行下列命令即可開啟環境:
docker-compose up
工具已建立好了管理員使用者,大家可以編輯下列檔案來修改密碼:
docker/setup_admin.sh
應用程式訪問地址為: localhost:8000 。
內建軟體
DFIRTrack實現了以下專案或程式碼庫:
專案地址
DFIRTrack:【 傳送門 】
* 參考來源: kitploit ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM