工具介紹
FireKylin中文名稱叫:火麒麟,其實跟某氪金游戲火麒麟並沒有關系,作為國產的網絡安全工具名稱取自中國神獸:麒麟。寓意是希望能夠為守護中國網絡安全作出一份貢獻。
其功能是收集操作系統各項痕跡,支持Windows和Linux痕跡收集。
其作用是為分析研判安全事件提供操作系統數據。
其目的是讓任何有上機排查經驗和無上機排查經驗的人都可以進行上機排查安全事件。
在應對安全事件上機排查時,對於沒有此方面經驗但是有研判能力的安全專家來講,經常苦於需要參考各種安全手冊進行痕跡采集、整理、研判,此時我們可以使用FireKylin-Agent進行一鍵痕跡收集,降低排查安全專家收集工作的難度。
FireKylin的使用方式很簡單,將Agent程序上傳到需要檢測的主機上,運行Agent程序,將采集到的數據.fkld文件下載下來,用界面程序加載數據就可以查看主機中的用戶、進程、服務等信息,並且Agent最大的特點就是【0命令采集】對安裝了監控功能的安全軟件的主機來講是非常友好的,不會對監控軟件產生引起“誤報安全事件”的命令。
工具使用方法
1、需要排查機器運行相應操作系統版本agent,有幾個選項,start
2、將采集的數據加載到gui中
3、可以看到相應進程、啟動項、用戶、網絡連接、服務、網絡連接、系統日志等信息
工具下載地址
估計工具是剛剛發布的,嘗試了一下,還有許多待優化的地方
網絡安全應急響應工具(系統痕跡采集)-FireKylin
項目Github:https://github.com/MountCloud/FireKylin
下載地址:https://github.com/MountCloud/FireKylin/releases
問題反饋:https://github.com/MountCloud/FireKylin/issues
知乎:https://zhuanlan.zhihu.com/p/397663694