DFIRTrack:一款功能强大的事件应急响应跟踪软件

前言

DFIRTrack(Digital Forensics and Incident Response Tracking application),即数字取证和事件响应跟踪应用程序。它是一款开源的Web应用程序,基于Django开发,后端数据库为PostgreSQL数据库。

DFIRTrack专注于处理一个重大安全事件,其中需要涉及到多个受影响的系统,这也符合很多APT攻击事件的特性。在大型网络攻击事件场景下,它可以被用作专门的事件响应工具。当然了,CERT和SOC也可以使用DFIRTrack,不过它只能在特殊情况下使用,并不适用于日常响应工作。

功能介绍

DFIRTrack跟其他基于事件案例的应用程序不同,它以基于系统的方式运行,它能够跟踪各种系统的状态以及相关的任务,来帮助分析人员在事件的调查阶段以及响应阶段了解受影响系统的状态和数量。

它的主要功能之一就是快速导出受影响系统的相关信息,并给技术人员以电子表格的形式提供详细的安全报告,而且数据集中不存在任何冗余数据或偏差。

目前该工具支持以下功能:

1、 导入器

a) 系统及任务创建工具(通过Web接口快速创建多个相关实例)

b) CSV(基于CSV生成和导入,解和主机名、IP及Web表单)

c) 标记实体

2、 导出器

a) 标注系统报告(MkDocs结构)

b) 电子表格(CSV和XLS)

c) LaTeX

工具安装及依赖组件

DFIRTrack支持Debian Stretch或Ubuntu 16.04,其他Debian发行版理论上同样支持,但未进行过测试。

工具的编译安装,请参考Ansible Playbook:【传送门

该工具至少需要以下依赖组件:

django(2.0),django_q,djangorestframework,gunicorn,postgresql,psycopg2-binary,python3-pip,PyYAML,requests,virtualenv,xlwt.

请注意,代码库中没有提供settings.py,大家可以点击【这里】获取。

Docker环境

项目提供了仅支持本地使用的Docker实验环境,在项目主目录下运行下列命令即可开启环境:

docker-compose up

工具已创建好了管理员用户,大家可以编辑下列文件来修改密码:

docker/setup_admin.sh

应用程序访问地址为:localhost:8000

内置软件

DFIRTrack实现了以下项目或代码库:


clipboard.js

DataTables

jQuery

Open Iconic

Popper.js

项目地址

DFIRTrack:【传送门

* 参考来源:kitploit,FB小编Alpha_h4ck编译,


发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注