工具介绍
FireKylin中文名称叫:火麒麟,其实跟某氪金游戏火麒麟并没有关系,作为国产的网络安全工具名称取自中国神兽:麒麟。寓意是希望能够为守护中国网络安全作出一份贡献。
其功能是收集操作系统各项痕迹,支持Windows和Linux痕迹收集。
其作用是为分析研判安全事件提供操作系统数据。
其目的是让任何有上机排查经验和无上机排查经验的人都可以进行上机排查安全事件。
在应对安全事件上机排查时,对于没有此方面经验但是有研判能力的安全专家来讲,经常苦于需要参考各种安全手册进行痕迹采集、整理、研判,此时我们可以使用FireKylin-Agent进行一键痕迹收集,降低排查安全专家收集工作的难度。
FireKylin的使用方式很简单,将Agent程序上传到需要检测的主机上,运行Agent程序,将采集到的数据.fkld文件下载下来,用界面程序加载数据就可以查看主机中的用户、进程、服务等信息,并且Agent最大的特点就是【0命令采集】对安装了监控功能的安全软件的主机来讲是非常友好的,不会对监控软件产生引起“误报安全事件”的命令。
工具使用方法
1、需要排查机器运行相应操作系统版本agent,有几个选项,start
2、将采集的数据加载到gui中
3、可以看到相应进程、启动项、用户、网络连接、服务、网络连接、系统日志等信息
工具下载地址
估计工具是刚刚发布的,尝试了一下,还有许多待优化的地方
网络安全应急响应工具(系统痕迹采集)-FireKylin
项目Github:https://github.com/MountCloud/FireKylin
下载地址:https://github.com/MountCloud/FireKylin/releases
问题反馈:https://github.com/MountCloud/FireKylin/issues
知乎:https://zhuanlan.zhihu.com/p/397663694