网络安全应急响应工具：采集Windows和Linux系统的痕迹，辅助安全专家进行安全事件分析

　　网络安全应急响应工具：采集Windows和Linux系统的痕迹，辅助安全专家进行安全事件分析

　　前言

　　当网络安全事件发生时，往往需要网络安全专家检查计算机上的安全事件。然而，当前的网络安全应急现场非常缺乏应急救援工具。小编推荐一款由MountCloud制作和发布的国产免费版本。网络安全应急工具可以协助安全专家分析采集Windows和Linux系统的安全事件。

　　下载

　　废话不多说，先下载链接：/MountCloud/FireKylin/releases

　　项目主页（建设中）：firekylin.tool.red/

　　Github 项目：/MountCloud/FireKylin

　　V1 版本可能有很多问题，欢迎反馈：

　　问题反馈：/MountCloud/FireKylin/issues

　　更新日志：

　　【v1.1.2】 2021-08-12

1：Gui进程列表使用进程ID进行升序排序。

2：Gui Windows日志添加全文搜索框，支持每列以及事件信息内容匹配。

3：LinuxAgent修复目录不存在时搜索目录导致的报错问题。

4：LinuxAgent修复日志无法正常提取问题。

5：WindowsAgent修复Security日志与System日志无法提取问题。

6：Gui优化fkld解析过程，所以无法支持老版本的数据解析。

【v1.0.1】 2021-08-09

1：Gui支持Windows。

2：Agent支持Windows和Linux。

3：Agent-Windows支持采集：用户、进程、启动项、服务、网络信息、计划任务、系统日志。

4：Agent-Linux支持采集：用户、进程、启动项、服务、网络信息、历史命令、系统日志。

5：Gui内置中文和英文，支持扩展语言。

　　火麒麟简介

　　火麒麟的中文名称是：火麒麟。其实和某款氪金游戏火麒麟无关。作为一款国产的网络安全工具，名字取自中国怪兽：麒麟。言下之意是希望为维护中国的网络安全做出贡献。

　　它的功能是采集操作系统的各种痕迹。

　　其作用是为分析和判断安全事件提供操作系统数据。

　　目的是让任何有或没有计算机故障排除经验的人都能在计算机上发生安全事件。

　　在处理计算机上的安全事件时，对于这方面没有经验但有研究判断能力的安全专家来说，经常苦于需要参考各种安全手册进行trace采集、排序，和研究。这时候我们可以使用FireKylin-Agent一键采集踪迹，降低安全专家采集工作的难度。

　　FireKylin 的使用非常简单。将Agent程序上传到电脑上需要检查的主机，运行Agent程序，从采集下载数据.fkld文件，使用接口程序加载数据查看主机。 Agent最大的特点是[0命令采集]对安装了监控功能的安全软件的主机非常友好，不会对监控软件造成“误报安全”。事件”命令。

　　v1.0.1 客户端界面

　　当前版本已更新为 v1.0.1。 Agent 支持 Linux 和 Windows 操作系统，而 Gui 仅支持 Windows 操作系统。

　　代理支持的操作系统

　　Agent支持采集任务的灵活配置，不仅可以切换任务，还可以为日志采集配置时间段采集，提高采集效率和准确率。

　　代理 v1.0.1 Windows 端

　　agent v1.0.1 Linux 终端使用对比

　　在过去的应急响应中，我们的安全专家经常需要一起登录目标主机。我们可能使用堡垒机或者直接ssh到目标服务器，这意味着安全密钥可能要发给各种需要学习判断的安全人员。在这个过程中，密钥的安全性将受到威胁。 FireKylin 只需要有权限的人员在机器上操作，并将结果分发给各个安全人员。

　　相比火麒麟，传统方式支持的场景更多

　　在应急响应中，安全专家经常对远程或远程服务进行安全事件检查，但远程服务器往往处于没有任何访问方法的场景。对于这种场景，传统解决方案可能需要授权运营商使用其他跳板为安全专家提供远程接入点，但跳板往往存在风险。 FireKylin 只需要运营商运行 Agent 程序，然后将结果发送给我们的安全人员进行事故调查。

　　无法达到目标的场景对比使用教程

　　默认语言为英语，需要在设置->语言->中选择zh-cn并点击设置语言。选择语言后，GUI会自动重启，然后就是中文了。

　　设置语言

　　代理配置：

　　start 开始任务。

　　print 或 ls 打印任务配置。

　　1=false 或 user=false 是关闭用户采集的任务，其他同理。

　　日志配置比较复杂：

　　config syslog 是查看日志配置项。