uac
Unknown
Documentación • Características principales • Sistemas operativos compatibles • Uso de UAC • Contribución • Soporte • Licencia
UAC es un script de recopilación de Live Response para Incident Response que utiliza herramientas y binarios nativos para automatizar la recopilación de artefactos de los sistemas AIX, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD y Solaris. Fue creado para facilitar y acelerar la recopilación de datos y depender menos del soporte remoto durante las tareas de respuesta a incidentes.
UAC lee archivos YAML sobre la marcha y, en función de su contenido, recopila artefactos relevantes. Esto hace que UAC sea muy personalizable y extensible.
Página de documentación del proyecto: https://tclahr.github.io/uac-docs
UAC se ejecuta en cualquier sistema tipo Unix, independientemente de la arquitectura del procesador. Todo lo que UAC necesita es shell :)
Tenga en cuenta que UAC incluso se ejecuta en sistemas como dispositivos de almacenamiento conectado a la red (NAS), dispositivos de red como OpenWrt y dispositivos IoT.
No es necesario instalar UAC en el sistema de destino. Simplemente descargue la última versión desde la página de lanzamientos, descomprímala y ejecútela. ¡Es así de simple!
El permiso de acceso total al disco es una característica de privacidad introducida en macOS Mojave (10.14) que impide que algunas aplicaciones accedan a datos importantes, como correo, mensajes y archivos de Safari. Por lo tanto, se recomienda encarecidamente otorgar permiso manualmente para la aplicación Terminal antes de ejecutar UAC desde la terminal, o otorgar permiso a usuarios remotos antes de ejecutar UAC a través de ssh.
Para ejecutar una colección, debe proporcionar al menos un perfil y/o una lista de artefactos y especificar el directorio de destino. Cualquier parámetro adicional es opcional.
Ejemplos:
Recopile todos los artefactos según el perfil ir_triage y guarde el archivo de salida en /tmp.
./uac -p ir_triage /tmpRecopile todos los artefactos ubicados en el directorio artefactos/live_response y guarde el archivo de salida en /tmp.
./uac -a ./artifacts/live_response/ * /tmpRecopile todos los artefactos basados en el perfil ir_triage, junto con todos los artefactos ubicados en el directorio /my_custom_artifacts y guarde el archivo de salida en /mnt/sda1.
./uac -p ir_triage -a /my_custom_artifacts/ * /mnt/sda1Recopile un volcado de memoria y todos los artefactos según el perfil completo.
./uac -a ./artifacts/memory_dump/avml.yaml -p full /tmpRecopile todos los artefactos según el perfil ir_triage, excluyendo el artefacto bodyfile/bodyfile.yaml.
./uac -p ir_triage -a ! artifacts/bodyfile/bodyfile.yaml /tmpLas contribuciones son lo que hace que la comunidad de código abierto sea un lugar increíble para aprender, inspirar y crear. Cualquier contribución que hagas será muy apreciada.
¿Has creado algún artefacto? ¡Por favor compártelos con nosotros!
Puedes contribuir con nuevos artefactos, perfiles, correcciones de errores o incluso proponer nuevas funciones. Lea nuestra Guía de contribución antes de enviar una solicitud de extracción al proyecto.
Para obtener ayuda general con el uso de UAC, consulte la página de documentación del proyecto. Para obtener ayuda adicional, puede utilizar uno de los canales para hacer una pregunta:
El proyecto UAC utiliza la licencia de software Apache License Version 2.0.
