UAC

文档 • 主要功能 • 支持的操作系统 • 使用UAC • 贡献 • 支持 • 许可证

UAC 是用于事件响应的实时响应收集脚本，它利用本机二进制文件和工具来自动收集 AIX、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 系统工件。它的创建是为了促进和加速数据收集，并在事件响应过程中减少对远程支持的依赖。

UAC 即时读取 YAML 文件，并根据其内容收集相关工件。这使得 UAC 非常可定制和可扩展。

项目文档页面：https://tclahr.github.io/uac-docs

• 无需依赖即可随处运行（无需安装）。
• 可定制和可扩展的集合和工件。
• 在工件收集期间尊重波动顺序。
• 收集有关当前正在运行的进程（包括磁盘上没有二进制文件的进程）的信息。
• 哈希运行进程和可执行文件。
• 提取文件和目录状态以创建正文文件。
• 收集系统和用户特定的数据、配置文件和日志。
• 使用不同的方法和工具从 Linux 系统获取易失性内存。

UAC 可以在任何类 Unix 系统上运行，无论处理器架构如何。所有 UAC 都需要 shell :)

请注意，UAC 甚至可以在网络附加存储 (NAS) 设备、OpenWrt 等网络设备和 IoT 设备等系统上运行。

目标系统上不需要安装UAC。只需从发布页面下载最新版本，解压缩并启动即可。就这么简单！

全磁盘访问权限是 macOS Mojave (10.14) 中引入的一项隐私功能，可防止某些应用程序访问重要数据，例如邮件、消息和 Safari 文件。因此，强烈建议您在从终端运行 UAC 之前手动授予终端应用程序权限，或者在通过 ssh 运行 UAC 之前为远程用户授予权限。

要执行集合，您必须至少提供一个配置文件和/或一个工件列表，并指定目标目录。任何附加参数都是可选的。

示例：

根据 ir_triage 配置文件收集所有工件，并将输出文件保存到 /tmp。

./uac -p ir_triage /tmp

收集位于 artifacts/live_response 目录中的所有工件，并将输出文件保存到 /tmp。

./uac -a ./artifacts/live_response/ * /tmp

收集基于 ir_triage 配置文件的所有工件以及位于 /my_custom_artifacts 目录中的所有工件，并将输出文件保存到 /mnt/sda1。

./uac -p ir_triage -a /my_custom_artifacts/ * /mnt/sda1

根据完整配置文件收集内存转储和所有工件。

./uac -a ./artifacts/memory_dump/avml.yaml -p full /tmp

根据 ir_triage 配置文件收集所有工件，不包括 bodyfile/bodyfile.yaml 工件。

./uac -p ir_triage -a ! artifacts/bodyfile/bodyfile.yaml /tmp

贡献使开源社区成为学习、启发和创造的绝佳场所。我们非常感谢您所做的任何贡献。

你创造过任何文物吗？请与我们分享！

您可以贡献新的工件、配置文件、错误修复，甚至提出新功能。在向项目提交 Pull 请求之前，请阅读我们的贡献指南。

有关使用 UAC 的一般帮助，请参阅项目文档页面。如需其他帮助，您可以使用以下渠道之一提出问题：

• Discord（与社区和 UAC 团队进行实时讨论）
• GitHub（错误报告和贡献）
• Twitter（快速获取新闻）

UAC项目使用Apache License Version 2.0软件许可证。