uac
Unknown
Dokumentation • Hauptfunktionen • Unterstützte Betriebssysteme • UAC verwenden • Mitwirken • Support • Lizenz
UAC ist ein Live-Response-Erfassungsskript für Incident Response, das native Binärdateien und Tools nutzt, um die Erfassung von AIX-, ESXi-, FreeBSD-, Linux-, macOS-, NetBSD-, NetScaler-, OpenBSD- und Solaris-Systemartefakten zu automatisieren. Es wurde entwickelt, um die Datenerfassung zu erleichtern und zu beschleunigen und bei Einsätzen zur Reaktion auf Vorfälle weniger auf Fernunterstützung angewiesen zu sein.
UAC liest YAML-Dateien im Handumdrehen und sammelt basierend auf ihrem Inhalt relevante Artefakte. Dies macht UAC sehr anpassbar und erweiterbar.
Projektdokumentationsseite: https://tclahr.github.io/uac-docs
UAC läuft auf jedem Unix-ähnlichen System, unabhängig von der Prozessorarchitektur. Alles, was UAC braucht, ist eine Shell :)
Beachten Sie, dass UAC sogar auf Systemen wie Network Attached Storage (NAS)-Geräten, Netzwerkgeräten wie OpenWrt und IoT-Geräten läuft.
UAC muss nicht auf dem Zielsystem installiert werden. Laden Sie einfach die neueste Version von der Release-Seite herunter, dekomprimieren Sie sie und starten Sie sie. So einfach ist das!
Die Berechtigung „Vollständiger Festplattenzugriff“ ist eine in macOS Mojave (10.14) eingeführte Datenschutzfunktion, die verhindert, dass einige Anwendungen auf wichtige Daten wie E-Mails, Nachrichten und Safari-Dateien zugreifen. Es wird daher dringend empfohlen, dass Sie manuell die Berechtigung für die Terminalanwendung erteilen, bevor Sie UAC vom Terminal aus ausführen, oder dass Sie Remotebenutzern die Berechtigung erteilen, bevor Sie UAC über SSH ausführen.
Um eine Sammlung auszuführen, müssen Sie mindestens ein Profil und/oder eine Liste von Artefakten bereitstellen und das Zielverzeichnis angeben. Alle zusätzlichen Parameter sind optional.
Beispiele:
Sammeln Sie alle Artefakte basierend auf dem ir_triage-Profil und speichern Sie die Ausgabedatei unter /tmp.
./uac -p ir_triage /tmpSammeln Sie alle Artefakte, die sich im Verzeichnis artefakte/live_response befinden, und speichern Sie die Ausgabedatei unter /tmp.
./uac -a ./artifacts/live_response/ * /tmpSammeln Sie alle Artefakte basierend auf dem ir_triage-Profil sowie alle Artefakte im Verzeichnis /my_custom_artifacts und speichern Sie die Ausgabedatei unter /mnt/sda1.
./uac -p ir_triage -a /my_custom_artifacts/ * /mnt/sda1Erfassen Sie einen Speicherauszug und alle Artefakte basierend auf dem vollständigen Profil.
./uac -a ./artifacts/memory_dump/avml.yaml -p full /tmpSammeln Sie alle Artefakte basierend auf dem ir_triage-Profil mit Ausnahme des Artefakts bodyfile/bodyfile.yaml.
./uac -p ir_triage -a ! artifacts/bodyfile/bodyfile.yaml /tmpBeiträge machen die Open-Source-Community zu einem so wunderbaren Ort zum Lernen, Inspirieren und Schaffen. Jeder Beitrag, den Sie leisten, wird sehr geschätzt.
Haben Sie Artefakte erstellt? Bitte teilen Sie sie mit uns!
Sie können mit neuen Artefakten, Profilen, Fehlerbehebungen beitragen oder sogar neue Funktionen vorschlagen. Bitte lesen Sie unseren Beitragsleitfaden, bevor Sie eine Pull-Anfrage an das Projekt senden.
Allgemeine Hilfe zur Verwendung der Benutzerkontensteuerung finden Sie auf der Projektdokumentationsseite. Wenn Sie zusätzliche Hilfe benötigen, können Sie über einen der Kanäle eine Frage stellen:
Das UAC-Projekt verwendet die Softwarelizenz Apache License Version 2.0.
