一个python模块,用于通过amazon ssm编排内容获取和灯光分析。
ssm-acquire的Python项目详细描述
SSM获取
一个python模块,用于通过amazon ssm编排内容获取和分析。注意:这是一个预发行版。
- 免费软件:MPL 2.0许可证
- 文档:https://ssm-acquire.readthedocs.io。
功能
- 使用ssm从linux实例获取内存到s3 bucket。
- 使用osquery查询前10个ioc的实例并保存jsonified输出。
- 使用Docker分析计算机上的内存样本。
- 使用实例作为运行amazon ssm代理的构建目标创建rekall概要文件。
使用量
示例cli用法
pip install ssm_acquire Usage: ssm_acquire [OPTIONS] ssm_acquire a rapid evidence preservation tool for Amazon EC2. Options: --instance_id TEXT The instance you would like to operate on. --region TEXT The aws region where the instance can be found. --build Specify if you would like to build a rekall profile with this capture. --acquire Use linpmem to acquire a memory sample from the system in question. --interrogate Use OSQuery binary to preserve top 10 type queries for rapid forensics. --analyze Use docker and rekall to autoanalyze the memory capture. --deploy Create a lambda function with a handler to take events from AWS GuardDuty. --help Show this message and exit.
入门
使用cloudformation模板将响应者角色部署到aws帐户:cloudformation/responder_role.yml。(注意:这个角色需要2fa来承担)这将创建一个具有在ec2实例上运行ssm命令所需权限的角色,并创建一个存储内存资源的s3 bucket。下一步您将需要bucket名称和角色的arn。
在主目录中设置配置文件。它应该命名为.threatresponse.iniconf/settings.ini中有一个示例配置文件-它有三个必需的参数。
- mfa_serial_number:担任该角色的mfa设备的序列号。
- 资产存储桶:存储资产的存储桶的名称。这是在步骤1中创建的。
- ssm_acquire_role_arn:您在步骤1中创建的响应者角色的arn。
pip install ssm_acquire
要从实例获取内存并构建rekall配置文件:
ssm_acquire --instance_idi-xxxxxxxx--regionus-west-2--build--acquire
您可以立即使用:
ssm_acquire --instance_idi-xxxxxxx--analyze
这将使用最常见的rekall插件分析内存转储:[psaux,pstree,netstat,ifconfig,pidhashtable] 分析完成后,它会将结果上载回资产存储。
学分
这个包是用Cookiecutter和audreyr/cookiecutter-pypackage项目模板创建的。
历史记录
0.1.0(2018-11-10)
- 对github的初始提交
0.1.0.4(2018-11-25)
- 发布到AWS仓库:发明2018