ОАК

Документация • Основные функции • Поддерживаемые операционные системы • Использование UAC • Участие • Поддержка • Лицензия

UAC — это сценарий сбора данных Live Response для реагирования на инциденты, который использует собственные двоичные файлы и инструменты для автоматизации сбора артефактов систем AIX, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD и Solaris. Он был создан, чтобы облегчить и ускорить сбор данных и меньше зависеть от удаленной поддержки во время реагирования на инциденты.

UAC «на лету» читает файлы YAML и на основе их содержимого собирает соответствующие артефакты. Это делает UAC очень настраиваемым и расширяемым.

Страница документации проекта: https://tclahr.github.io/uac-docs.

• Запускается везде без каких-либо зависимостей (установка не требуется).
• Настраиваемые и расширяемые коллекции и артефакты.
• Соблюдайте порядок изменчивости во время сбора артефактов.
• Собирайте информацию о текущих запущенных процессах (включая процессы без двоичного файла на диске).
• Хеширование запущенных процессов и исполняемых файлов.
• Извлеките состояние файлов и каталогов, чтобы создать основной файл.
• Собирайте системные и пользовательские данные, файлы конфигурации и журналы.
• Получите энергозависимую память из систем Linux, используя различные методы и инструменты.

UAC работает в любой Unix-подобной системе, независимо от архитектуры процессора. Все, что нужно UAC, это оболочка :)

Обратите внимание, что UAC работает даже в таких системах, как устройства сетевого хранилища (NAS), сетевые устройства, такие как OpenWrt, и устройства IoT.

UAC не требуется устанавливать в целевой системе. Просто загрузите последнюю версию со страницы выпусков, распакуйте ее и запустите. Это так просто!

Разрешение на полный доступ к диску — это функция конфиденциальности, представленная в macOS Mojave (10.14), которая предотвращает доступ некоторых приложений к важным данным, таким как почта, сообщения и файлы Safari. Поэтому настоятельно рекомендуется вручную предоставить разрешение приложению терминала перед запуском UAC с терминала или предоставить разрешение удаленным пользователям перед запуском UAC через ssh.

Чтобы выполнить коллекцию, вы должны предоставить как минимум профиль и/или список артефактов и указать каталог назначения. Любые дополнительные параметры являются необязательными.

Примеры:

Соберите все артефакты на основе профиля ir_triage и сохраните выходной файл в /tmp.

./uac -p ir_triage /tmp

Соберите все артефакты, расположенные в каталоге артефакты/live_response, и сохраните выходной файл в /tmp.

./uac -a ./artifacts/live_response/ * /tmp

Соберите все артефакты на основе профиля ir_triage, а также все артефакты, расположенные в каталоге /my_custom_artifacts, и сохраните выходной файл в /mnt/sda1.

./uac -p ir_triage -a /my_custom_artifacts/ * /mnt/sda1

Соберите дамп памяти и все артефакты на основе полного профиля.

./uac -a ./artifacts/memory_dump/avml.yaml -p full /tmp

Соберите все артефакты на основе профиля ir_triage, за исключением артефакта bodyfile/bodyfile.yaml.

./uac -p ir_triage -a ! artifacts/bodyfile/bodyfile.yaml /tmp

Вклады — это то, что делает сообщество открытого исходного кода таким замечательным местом для обучения, вдохновения и творчества. Любой ваш вклад очень ценится.

Создавали ли вы какие-либо артефакты? Пожалуйста, поделитесь ими с нами!

Вы можете внести свой вклад, предлагая новые артефакты, профили, исправления ошибок или даже предлагая новые функции. Пожалуйста, прочтите наше Руководство для участников, прежде чем отправлять запрос на включение в проект.

Общую справку по использованию UAC можно найти на странице документации проекта. Для получения дополнительной помощи вы можете использовать один из каналов, чтобы задать вопрос:

• Discord (для живого обсуждения с сообществом и командой UAC)
• GitHub (отчеты об ошибках и материалы)
• Twitter (быстро получайте новости)

В проекте UAC используется лицензия на программное обеспечение Apache License версии 2.0.