uac
Unknown
ドキュメント • 主な機能 • サポートされているオペレーティング システム • UAC の使用 • 貢献 • サポート • ライセンス
UAC は、インシデント レスポンス用の Live Response 収集スクリプトであり、ネイティブ バイナリとツールを利用して、AIX、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD、および Solaris システム アーティファクトの収集を自動化します。これは、データ収集を容易にして迅速化し、インシデント対応業務中のリモート サポートへの依存度を下げるために作成されました。
UAC は YAML ファイルをオンザフライで読み取り、その内容に基づいて関連するアーティファクトを収集します。これにより、UAC は非常にカスタマイズ可能で拡張可能になります。
プロジェクトドキュメントページ: https://tclahr.github.io/uac-docs
UAC は、プロセッサ アーキテクチャに関係なく、Unix に似たシステム上で動作します。 UAC に必要なのはシェルだけです:)
UAC は、Network Attached Storage (NAS) デバイス、OpenWrt などのネットワーク デバイス、IoT デバイスなどのシステムでも実行されることに注意してください。
UAC をターゲット システムにインストールする必要はありません。リリース ページから最新バージョンをダウンロードし、解凍して起動するだけです。それはとても簡単です!
フル ディスク アクセス許可は、macOS Mojave (10.14) で導入されたプライバシー機能で、一部のアプリケーションがメール、メッセージ、Safari ファイルなどの重要なデータにアクセスするのを防ぎます。したがって、ターミナルから UAC を実行する前にターミナル アプリケーションに手動で権限を付与するか、ssh 経由で UAC を実行する前にリモート ユーザーに権限を付与することを強くお勧めします。
コレクションを実行するには、少なくともプロファイルやアーティファクトのリストを指定し、宛先ディレクトリを指定する必要があります。追加のパラメータはオプションです。
例:
ir_triage プロファイルに基づいてすべてのアーティファクトを収集し、出力ファイルを /tmp に保存します。
./uac -p ir_triage /tmpartifacts/live_response ディレクトリにあるすべてのアーティファクトを収集し、出力ファイルを /tmp に保存します。
./uac -a ./artifacts/live_response/ * /tmpir_triage プロファイルに基づくすべてのアーティファクトと、/my_custom_artifacts ディレクトリーにあるすべてのアーティファクトを収集し、出力ファイルを /mnt/sda1 に保存します。
./uac -p ir_triage -a /my_custom_artifacts/ * /mnt/sda1完全なプロファイルに基づいてメモリ ダンプとすべてのアーティファクトを収集します。
./uac -a ./artifacts/memory_dump/avml.yaml -p full /tmpbodyfile/bodyfile.yaml アーティファクトを除く、ir_triage プロファイルに基づいてすべてのアーティファクトを収集します。
./uac -p ir_triage -a ! artifacts/bodyfile/bodyfile.yaml /tmpオープンソース コミュニティを学び、インスピレーションを与え、創造するためのすばらしい場所にするのは、貢献のおかげです。皆様のご貢献は大変感謝しております。
何か成果物を作成しましたか?ぜひシェアしてください!
新しいアーティファクト、プロファイル、バグ修正に貢献したり、新機能を提案したりすることもできます。プロジェクトにプル リクエストを送信する前に、貢献ガイドをお読みください。
UAC を使用する一般的なヘルプについては、プロジェクトのドキュメント ページを参照してください。さらにヘルプが必要な場合は、いずれかのチャネルを使用して質問できます。
UAC プロジェクトは、Apache License バージョン 2.0 ソフトウェア ライセンスを使用します。
