uac

Dokumentasi • Fitur Utama • Sistem Operasi yang Didukung • Penggunaan UAC • Berkontribusi • Dukungan • Lisensi

UAC adalah skrip kumpulan Respons Langsung untuk Incident Response yang menggunakan binari dan alat asli untuk mengotomatiskan pengumpulan artefak sistem AIX, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD, dan Solaris. Hal ini dibuat untuk memfasilitasi dan mempercepat pengumpulan data, dan mengurangi ketergantungan pada dukungan jarak jauh selama pelaksanaan respons insiden.

UAC membaca file YAML dengan cepat dan, berdasarkan isinya, mengumpulkan artefak yang relevan. Hal ini membuat UAC sangat dapat dikustomisasi dan diperluas.

Halaman dokumentasi proyek: https://tclahr.github.io/uac-docs

• Jalankan di mana saja tanpa ketergantungan (tidak perlu instalasi).
• Koleksi dan artefak yang dapat disesuaikan dan diperluas.
• Hormati urutan volatilitas selama pengumpulan artefak.
• Mengumpulkan informasi tentang proses yang sedang berjalan (termasuk proses tanpa biner pada disk).
• Hash proses yang berjalan dan file yang dapat dieksekusi.
• Ekstrak file dan status direktori untuk membuat bodyfile.
• Kumpulkan data khusus sistem dan pengguna, file konfigurasi, dan log.
• Dapatkan memori volatil dari sistem Linux menggunakan metode dan alat yang berbeda.

UAC berjalan pada sistem mirip Unix apa pun, apa pun arsitektur prosesornya. Semua kebutuhan UAC adalah shell :)

Perhatikan bahwa UAC bahkan berjalan pada sistem seperti perangkat Network Attached Storage (NAS), perangkat Jaringan seperti OpenWrt, dan perangkat IoT.

UAC tidak perlu diinstal pada sistem target. Cukup unduh versi terbaru dari halaman rilis, buka kompresinya, dan luncurkan. Sesederhana itu!

Izin Akses Disk Penuh adalah fitur privasi yang diperkenalkan di macOS Mojave (10.14) yang mencegah beberapa aplikasi mengakses data penting, seperti file Mail, Pesan, dan Safari. Jadi sangat disarankan agar Anda memberikan izin secara manual untuk aplikasi Terminal sebelum menjalankan UAC dari terminal, atau memberikan izin untuk pengguna jarak jauh sebelum menjalankan UAC melalui ssh.

Untuk menjalankan koleksi, Anda harus menyediakan setidaknya profil dan/atau daftar artefak, dan menentukan direktori tujuan. Parameter tambahan apa pun bersifat opsional.

Contoh:

Kumpulkan semua artefak berdasarkan profil ir_triage, dan simpan file keluaran ke /tmp.

./uac -p ir_triage /tmp

Kumpulkan semua artefak yang terletak di direktori artefak/live_response, dan simpan file keluaran ke /tmp.

./uac -a ./artifacts/live_response/ * /tmp

Kumpulkan semua artefak berdasarkan profil ir_triage, bersama dengan semua artefak yang terletak di direktori /my_custom_artifacts, dan simpan file output ke /mnt/sda1.

./uac -p ir_triage -a /my_custom_artifacts/ * /mnt/sda1

Kumpulkan dump memori dan semua artefak berdasarkan profil lengkap.

./uac -a ./artifacts/memory_dump/avml.yaml -p full /tmp

Kumpulkan semua artefak berdasarkan profil ir_triage kecuali artefak bodyfile/bodyfile.yaml.

./uac -p ir_triage -a ! artifacts/bodyfile/bodyfile.yaml /tmp

Kontribusi inilah yang membuat komunitas open source menjadi tempat yang luar biasa untuk belajar, menginspirasi, dan berkreasi. Setiap kontribusi yang Anda berikan sangat dihargai.

Sudahkah Anda membuat artefak? Silakan bagikan dengan kami!

Anda dapat berkontribusi dengan artefak baru, profil, perbaikan bug, atau bahkan mengusulkan fitur baru. Silakan baca Panduan Berkontribusi kami sebelum mengirimkan Permintaan Tarik ke proyek.

Untuk bantuan umum menggunakan UAC, silakan merujuk ke halaman dokumentasi proyek. Untuk bantuan tambahan, Anda dapat menggunakan salah satu saluran untuk mengajukan pertanyaan:

• Discord (Untuk diskusi langsung dengan komunitas dan tim UAC)
• GitHub (Laporan bug dan kontribusi)
• Twitter (Dapatkan berita dengan cepat)

Proyek UAC menggunakan lisensi perangkat lunak Apache License Versi 2.0.