UAC: script de coleta de resposta ao vivo para resposta a incidentes

Views: 271
0 0
Read Time:1 Minute, 35 Second

Unix-like Artifacts Collector (UAC) é um script de coleta de resposta ao vivo para resposta a incidentes que faz uso de binários nativos e ferramentas para automatizar a coleta de AIX, Android, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD e Solaris artefatos de sistemas. Ele foi criado para facilitar e agilizar a coleta de dados e depender menos do suporte remoto durante os engajamentos de resposta a incidentes .

Resposta a incidentes UAC

O UAC não precisa ser instalado no sistema de destino. Você só precisa baixar a versão mais recente da página de lançamentos, descompactá-la e executá-la.

“A recepção da UAC tem sido incrível, com a comunidade contribuindo ativamente com valiosos comentários, ideias e sugestões. Fico feliz que o UAC tenha sido amplamente adotado e utilizado por uma base de usuários diversificada, abrangendo profissionais de segurança, testemunhas especializadas, respondentes de incidentes e instrutores DFIR conhecidos”, Thiago Lahr, investigador digital sênior da IBM e principal criador do UAC, disse Help Net Security.

Principais características

  • Funciona em qualquer lugar sem dependências (sem necessidade de instalação).
  • Coleções e artefatos personalizáveis ​​e extensíveis.
  • Respeita a ordem de volatilidade durante a coleta de artefatos.
  • Coleta informações de processos em execução sem um binário no disco.
  • Hashes executando processos e arquivos executáveis.
  • Extrai informações de arquivos e diretórios para criar um arquivo de corpo (incluindo atributos de arquivo aprimorados para ext4).
  • Coleta arquivos e logs de configuração do usuário e do sistema.
  • Coleta artefatos de aplicativos.
  • Adquire memória volátil de sistemas Linux usando diferentes métodos e ferramentas.

O UAC está disponível no GitHub .

O que vem a seguir?

Lahr nos disse que está desenvolvendo novos recursos para melhorar o desempenho, refinar a coleta de artefatos de contêiner e fornecer um log de coleta ainda mais abrangente. Além disso, ele está trabalhando para tornar o UAC mais integrado com outras ferramentas DFIR.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS