DFIRTrack - Анализ и форензика систем
@webwareПриветствую гостей и участников портала Codeby.net.
В этой статье, я хочу описать и подробно рассказать о работе инструмента для форензики систем – DFIRTrack.
DFIRTrack (приложение для цифровой криминалистики и отслеживания инцидентов) - это веб-приложение с открытым исходным кодом, основанное на Django и использующее базу данных PostgreSQL.
В отличие от других инструментов реагирования на инциденты, которые в основном основаны на конкретных случаях и поддерживают работу CERT, SOC в повседневной работе.
DFIRTrack - ориентирован на обработку одного крупного инцидента, с большим количеством уязвимых систем. Он предназначен для использования в качестве инструмента для специальных групп реагирования на инциденты.
В отличие от прикладных программ, DFIRTrack работает системно. Он отслеживает состояние различных систем и связанных с ними задач, постоянно информируя аналитика о состоянии и количестве изменениях в системах, в любой момент на этапе расследования, вплоть до этапа исправления процесса реагирования на инциденты.
Особенности:
Одним из направлений является быстрый и надежный импорт и экспорт систем и связанной с ними информации. Цель импорта систем - обеспечить быструю и безошибочную процедуру. Кроме того, цель экспорта систем и их статуса состоит в том, чтобы иметь несколько экземпляров документации.
- Importer
1. Creator (быстрое создание нескольких связанных экземпляров через веб-интерфейс) для систем и задач.
2. CSV (простой и общий импорт на основе CSV (либо имя хоста и IP, либо имя хоста и теги в сочетании с веб-формой) должен соответствовать возможностям экспорта многих инструментов).
3. Разница для записей (одна запись на систему (отчет)).
- Exporter
1. Разница для системных отчетов (для использования в структуре MkDocs).
2. Электронные таблицы (CSV и XLS).
3. LaTeX (планируется).
Зависимости:
- django (2.0);
- django_q;
- djangorestframework;
- gunicorn;
- postgresql;
- psycopg2-binary;
- python3-pip;
- PyYAML;
- requests;
- virtualenv;
- xlwt.
Установка:
Мне больше всего импонирует использование данного инструмента с помощью Docker.
Для успешного выполнения установки, у вас должен быть установлен и настроен пакет Docker, на вашей рабочей ОС.
В этом проекте предусмотрена экспериментальная среда Docker Compose для локального использования.
Как docker может управлять отдельно взятым контейнером, так docker-compose помогает управлять не просто одним, а всеми контейнерами, которые составляют распределенное приложение. Причём, не только контейнерами, но и сетями, подключёнными папками и всеми связанными с этим настройками.
Установим её:
pip install docker-compose
Еще, необходимо установить пакет python-backports.ssl-match-machine:
apt install python-backports.ssl-match-machine
Скопируем каталог проекта, со страницы разработчика на Github:
git clone https://github.com/stuhli/dfirtrack
Запустите следующую команду в корневом каталоге проекта, чтобы запустить среду:
docker-compose up
После успешной установки среды, проверим список контейнеров:
docker images
Как видно, добавилось два контейнера. Теперь, можно запускать окружение:
docker-compose up
Запустим скрипт, для генерации пароля пользователю admin:
docker/setup_admin.sh
Обращаемся к DFIRTrack по адресу:
localhost:8000
И вводим учетные данные:
После успешного входа в панель управления, мы добавляем систему для последующего анализа:
В итоге добавленная система отобразится в списке:
Выбираем тэги, для формирования задания сканирования:
В моем случае, это выглядит так:
И запускаем процесс сканирования выбранной системы, и настроенным заданием:
Процесс не быстрый, но результаты достаточно информативны и предоставляют общую картину, для последующего анализа.
Спасибо за внимание, на этом можно закончить эту публикацию.
Специально для Codeby.net.