欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Beagle:一款功能强大的图形化事件响应与数字取证安全分析工具

来源:本站整理 作者:佚名 时间:2019-05-15 TAG: 我要投稿

今天给大家介绍的是一款名叫Beagle的开源工具,Beagle是一款事件响应与数字取证工具,它可以将安全日志与分析数据以图形化的形式呈现。

Beagle介绍
Beagle是一款功能强大的图形化事件响应与数字取证安全分析工具,支持FireEye HX Triages、Windows EVTX文件、SysMon日志以及Windows内存源镜像等多种数据源。导出的图形化分析结果可以发送至类似Neo4J和DGraph这样的图形化数据库,或者直接以Python NetworkX对象存储在本地。
Beagle能够以Python库的形式使用,或者直接在Web接口中调用:

库可以直接通过函数调用序列来调用:
>>>from beagle.datasources import SysmonEVTX
 
>>>graph = SysmonEVTX("malicious.evtx").to_graph()
>>>graph
0x12700ee10>
或严格按照图形处理过程中调用数据源的每一个分析步骤来进行调用:
>>>from beagle.backends import NetworkX
>>>from beagle.datasources import SysmonEVTX
>>>from beagle.transformers import SysmonTransformer
 
>>>datasource = SysmonEVTX("malicious.evtx")
 
#Transformers take a datasource, and transform each event
#into a tuple of one or more nodes.
>>>transformer = SysmonTransformer(datasource=datasource)
>>>nodes = transformer.run()
 
#Transformers output an array of nodes.
[
    (process_guid="{0ad3e319-0c16-59c8-0000-0010d47d0000}"),
    (host="DESKTOP-2C3IQHO"full_path="C:\Windows\System32\services.exe"),
    ...
]
 
#Backends take the nodes, and transform them into graphs
>>>backend = NetworkX(nodes=nodes)
>>>G = backend.graph()
图形化输出位于每一个分析进程的中间位置,可以帮助研究人员快速了解目标主机中的详细状态。
工具安装
Docker
Beagle能够直接以Docker文件来安装使用:
docker pull yampelo/beagle
mkdir -p data/beagle
docker run -v "$PWD/data/beagle":"/data/beagle" -p 8000:8000yampelo/beagle
Python包
Beagle还能够以Python库的形式使用。完整的API文档:【传送门】
pip install pybeagle
注意:目前Beagle仅支持Python 3.6+。
安装完成后,使用下列命令安装Rekall:
pip install pybeagle[rekall]
工具配置
配置文件中的每一个参数都可以通过环境变量来设置和修改,格式如下:
BEAGLE__{SECTION}__{KEY}
比如说,你想在使用Docker镜像的时候修改VirusTotal API密钥,你就可以使用-e参数并设置BEAGLE__VIRUSTOTAL__API_KEY变量:
dockerrun -v "data/beagle":"/data/beagle" -p 8000:8000 -e"BEAGLE__VIRUSTOTAL__API_KEY=$API_KEY" beagle
环境变量和目录可以使用Docker组件来定义:
version:"3"
 
services:
    beagle:
        image: yampelo/beagle
        volumes:
            - /data/beagle:/data/beagle
        ports:
            - "8000:8000"
        environment:
            - BEAGLE__VIRUSTOTAL__API_KEY=$key$
Web接口
Beagle的Docker镜像还封装了Web接口,可以帮助我们将数据以图形化的形式呈现,或将图形化数据以文本数据呈现。
上传数据:

浏览图形化数据:

图形接口:

数据节点:

数据连线:

Python库
我们可以根据自己的需要来使用Python库生成图形化数据,图形数据生成由下列三个步骤组成:
1、 DataSource类负责对事件进行单独解析;
2、 Transformer类负责接收输入数据,并将其转换为Node类;
3、 Backend类负责接收节点数组,并将其存入图形结构的特定位置;
Python包可以通过pip安装:
pip install pybeagle

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载