ยูเอซี

เอกสารประกอบ • คุณสมบัติหลัก • ระบบปฏิบัติการที่รองรับ • การใช้ UAC • การมีส่วนสนับสนุน • การสนับสนุน • ใบอนุญาต

UAC คือสคริปต์การรวบรวม Live Response สำหรับ Incident Response ที่ใช้ไบนารีดั้งเดิมและเครื่องมือเพื่อทำให้การรวบรวมสิ่งประดิษฐ์ของระบบ AIX, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD และ Solaris เป็นแบบอัตโนมัติ สร้างขึ้นเพื่ออำนวยความสะดวกและเร่งความเร็วในการรวบรวมข้อมูล และพึ่งพาการสนับสนุนระยะไกลน้อยลงในระหว่างการปฏิบัติการตอบสนองต่อเหตุการณ์

UAC อ่านไฟล์ YAML ได้ทันทีและรวบรวมอาร์ติแฟกต์ที่เกี่ยวข้องตามเนื้อหา สิ่งนี้ทำให้ UAC สามารถปรับแต่งและขยายได้มาก

หน้าเอกสารประกอบโครงการ: https://tclahr.github.io/uac-docs

• ทำงานได้ทุกที่โดยไม่ต้องพึ่งพา (ไม่จำเป็นต้องติดตั้ง)
• คอลเลกชันและสิ่งประดิษฐ์ที่ปรับแต่งและขยายได้
• เคารพลำดับของความผันผวนระหว่างการรวบรวมสิ่งประดิษฐ์
• รวบรวมข้อมูลเกี่ยวกับกระบวนการที่ทำงานอยู่ในปัจจุบัน (รวมถึงกระบวนการที่ไม่มีไบนารีบนดิสก์)
• แฮชกระบวนการทำงานและไฟล์ปฏิบัติการ
• แตกไฟล์และสถานะไดเร็กทอรีเพื่อสร้าง bodyfile
• รวบรวมข้อมูลเฉพาะระบบและข้อมูลผู้ใช้ ไฟล์การกำหนดค่า และบันทึก
• รับหน่วยความจำชั่วคราวจากระบบ Linux โดยใช้วิธีการและเครื่องมือต่างๆ

UAC ทำงานบนระบบที่คล้าย Unix โดยไม่คำนึงถึงสถาปัตยกรรมของโปรเซสเซอร์ ความต้องการ UAC ทั้งหมดคือเชลล์ :)

โปรดทราบว่า UAC ยังทำงานบนระบบต่างๆ เช่น อุปกรณ์ Network Attached Storage (NAS) อุปกรณ์เครือข่าย เช่น OpenWrt และอุปกรณ์ IoT

ไม่จำเป็นต้องติดตั้ง UAC บนระบบเป้าหมาย เพียงดาวน์โหลดเวอร์ชันล่าสุดจากหน้าเผยแพร่ คลายการบีบอัด และเปิดใช้งาน มันง่ายมาก!

สิทธิ์ การเข้าถึงดิสก์แบบเต็ม เป็นคุณสมบัติความเป็นส่วนตัวที่นำมาใช้ใน macOS Mojave (10.14) ที่ป้องกันไม่ให้แอพพลิเคชั่นบางตัวเข้าถึงข้อมูลสำคัญ เช่น ไฟล์เมล ข้อความ และ Safari ดังนั้นจึงขอแนะนำอย่างยิ่งให้คุณให้สิทธิ์แก่แอปพลิเคชัน Terminal ด้วยตนเองก่อนเรียกใช้ UAC จากเทอร์มินัล หรือให้สิทธิ์แก่ผู้ใช้ระยะไกลก่อนเรียกใช้ UAC ผ่าน ssh

ในการดำเนินการคอลเลกชัน คุณต้องระบุโปรไฟล์และ/หรือรายการอาร์ติแฟกต์เป็นอย่างน้อย และระบุไดเร็กทอรีปลายทาง พารามิเตอร์เพิ่มเติมใดๆ เป็นทางเลือก

ตัวอย่าง:

รวบรวมส่วนต่างๆ ทั้งหมดตามโปรไฟล์ ir_triage และบันทึกไฟล์เอาต์พุตไปที่ /tmp

./uac -p ir_triage /tmp

รวบรวมส่วนต่าง ๆ ทั้งหมดที่อยู่ในไดเร็กทอรี artifacts/live_response และบันทึกไฟล์เอาต์พุตไปที่ /tmp

./uac -a ./artifacts/live_response/ * /tmp

รวบรวมส่วนต่างๆ ทั้งหมดตามโปรไฟล์ ir_triage พร้อมด้วยส่วนทั้งหมดที่อยู่ในไดเร็กทอรี /my_custom_artifacts และบันทึกไฟล์เอาต์พุตไปที่ /mnt/sda1

./uac -p ir_triage -a /my_custom_artifacts/ * /mnt/sda1

รวบรวมดัมพ์หน่วยความจำและสิ่งประดิษฐ์ทั้งหมดตามโปรไฟล์แบบเต็ม

./uac -a ./artifacts/memory_dump/avml.yaml -p full /tmp

รวบรวมส่วนต่างๆ ทั้งหมดตามโปรไฟล์ ir_triage ยกเว้นส่วน bodyfile/bodyfile.yaml

./uac -p ir_triage -a ! artifacts/bodyfile/bodyfile.yaml /tmp

การมีส่วนร่วมคือสิ่งที่ทำให้ชุมชนโอเพ่นซอร์สเป็นสถานที่ที่ยอดเยี่ยมในการเรียนรู้ สร้างแรงบันดาลใจ และสร้างสรรค์ การมีส่วนร่วมใด ๆ ที่คุณทำจะได้รับการชื่นชมอย่างมาก

คุณเคยสร้างสิ่งประดิษฐ์บ้างไหม? กรุณาแบ่งปันให้กับเรา!

คุณสามารถมีส่วนร่วมด้วยสิ่งประดิษฐ์ โปรไฟล์ การแก้ไขข้อบกพร่อง หรือแม้แต่เสนอคุณสมบัติใหม่ๆ โปรดอ่านคู่มือการสนับสนุนของเราก่อนที่จะส่งคำขอดึงไปยังโครงการ

สำหรับความช่วยเหลือทั่วไปในการใช้ UAC โปรดดูที่หน้าเอกสารประกอบโครงการ หากต้องการความช่วยเหลือเพิ่มเติม คุณสามารถใช้ช่องทางใดช่องทางหนึ่งเพื่อถามคำถาม:

• Discord (สำหรับการสนทนาสดกับชุมชนและทีม UAC)
• GitHub (รายงานข้อผิดพลาดและการสนับสนุน)
• Twitter (รับข่าวสารอย่างรวดเร็ว)

โครงการ UAC ใช้ลิขสิทธิ์ซอฟต์แวร์ Apache License เวอร์ชัน 2.0