uac
Unknown
Documentation • Principales fonctionnalités • Systèmes d'exploitation pris en charge • Utilisation de l'UAC • Contribution • Support • Licence
UAC est un script de collecte Live Response pour Incident Response qui utilise des binaires et des outils natifs pour automatiser la collecte des artefacts des systèmes AIX, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD et Solaris. Il a été créé pour faciliter et accélérer la collecte de données et moins dépendre de l'assistance à distance lors des missions de réponse aux incidents.
L'UAC lit les fichiers YAML à la volée et, en fonction de leur contenu, collecte les artefacts pertinents. Cela rend l'UAC très personnalisable et extensible.
Page de documentation du projet : https://tclahr.github.io/uac-docs
L'UAC fonctionne sur n'importe quel système de type Unix, quelle que soit l'architecture du processeur. Tout ce dont l'UAC a besoin est un shell :)
Notez que l'UAC fonctionne même sur des systèmes tels que les appareils NAS (Network Attached Storage), les appareils réseau tels qu'OpenWrt et les appareils IoT.
L'UAC n'a pas besoin d'être installé sur le système cible. Téléchargez simplement la dernière version à partir de la page des versions, décompressez-la et lancez-la. C'est aussi simple que ça !
L'autorisation d'accès complet au disque est une fonctionnalité de confidentialité introduite dans macOS Mojave (10.14) qui empêche certaines applications d'accéder à des données importantes, telles que les fichiers Mail, Messages et Safari. Il est donc fortement recommandé d'accorder manuellement l'autorisation à l'application Terminal avant d'exécuter l'UAC à partir du terminal, ou d'accorder l'autorisation aux utilisateurs distants avant d'exécuter l'UAC via ssh.
Pour exécuter une collection, vous devez fournir au moins un profil et/ou une liste d'artefacts, et spécifier le répertoire de destination. Tous les paramètres supplémentaires sont facultatifs.
Exemples :
Collectez tous les artefacts basés sur le profil ir_triage et enregistrez le fichier de sortie dans /tmp.
./uac -p ir_triage /tmpCollectez tous les artefacts situés dans le répertoire crafts/live_response et enregistrez le fichier de sortie dans /tmp.
./uac -a ./artifacts/live_response/ * /tmpCollectez tous les artefacts basés sur le profil ir_triage, ainsi que tous les artefacts situés dans le répertoire /my_custom_artifacts, et enregistrez le fichier de sortie dans /mnt/sda1.
./uac -p ir_triage -a /my_custom_artifacts/ * /mnt/sda1Collectez un vidage mémoire et tous les artefacts basés sur le profil complet.
./uac -a ./artifacts/memory_dump/avml.yaml -p full /tmpCollectez tous les artefacts basés sur le profil ir_triage, à l'exclusion de l'artefact bodyfile/bodyfile.yaml.
./uac -p ir_triage -a ! artifacts/bodyfile/bodyfile.yaml /tmpLes contributions sont ce qui fait de la communauté open source un endroit si formidable pour apprendre, inspirer et créer. Toute contribution que vous apportez est grandement appréciée.
Avez-vous créé des artefacts ? Merci de les partager avec nous !
Vous pouvez contribuer avec de nouveaux artefacts, profils, corrections de bugs ou même proposer de nouvelles fonctionnalités. Veuillez lire notre Guide de contribution avant de soumettre une Pull Request au projet.
Pour obtenir une aide générale sur l'utilisation de l'UAC, veuillez vous référer à la page de documentation du projet. Pour obtenir une aide supplémentaire, vous pouvez utiliser l'un des canaux pour poser une question :
Le projet UAC utilise la licence logicielle Apache License Version 2.0.
