1.FireKylin介紹

FireKylin中文名稱叫：火麒麟，其功能是收集操作系統(tǒng)各項(xiàng)痕跡，支持Windows和Linux痕跡收集。其作用是為分析研判安全事件提供操作系統(tǒng)數(shù)據(jù)。其目的是讓任何有上機(jī)排查經(jīng)驗(yàn)和無上機(jī)排查經(jīng)驗(yàn)的人都可以進(jìn)行上機(jī)排查安全事件。

FireKylin的使用方式很簡單，將Agent程序上傳到需要檢測的主機(jī)上，運(yùn)行Agent程序，將采集到的數(shù)據(jù).fkld文件下載下來，用界面程序加載數(shù)據(jù)就可以查看主機(jī)中的用戶、進(jìn)程、服務(wù)等信息，并且Agent最大的特點(diǎn)就是【0命令采集】對(duì)安裝了監(jiān)控功能的安全軟件的主機(jī)來講是非常友好的，不會(huì)對(duì)監(jiān)控軟件產(chǎn)生引起“誤報(bào)安全事件”的命令。

【v1.4.0】 2021-12-20

中文：
1：*特大更新，集成FireDog病毒檢測引擎，支持進(jìn)程內(nèi)存、進(jìn)程路徑、進(jìn)程鏈接庫以及自定義路徑病毒檢測。
2：*特大更新，對(duì)界面的美觀程度做了優(yōu)化。
3：修復(fù)windows agent在采集系統(tǒng)日志（事件）時(shí)內(nèi)存占用過高問題。
4：內(nèi)置與當(dāng)前版本配套的FireDogEditor。
English：
1: * extra large update, integrated with firedog virus detection engine, supports process memory, process path, process link library and custom path virus detection.
2: * extra large update to optimize the beauty of the interface.
3: Fix the problem that windows agent occupies too much memory when collecting system logs (events).
4: Built in FireDogEditor with the current version.

【v1.0.1】 2021-08-09

中文：
1：Gui支持Windows。
2：Agent支持Windows和Linux。
3：Agent-Windows支持采集：用戶、進(jìn)程、啟動(dòng)項(xiàng)、服務(wù)、網(wǎng)絡(luò)信息、計(jì)劃任務(wù)、系統(tǒng)日志。
4：Agent-Linux支持采集：用戶、進(jìn)程、啟動(dòng)項(xiàng)、服務(wù)、網(wǎng)絡(luò)信息、歷史命令、系統(tǒng)日志。
5：Gui內(nèi)置中文和英文，支持?jǐn)U展語言。
English：
1: Gui supports Windows.
2: Agent supports Windows and Linux.
3: Agent-Windows supports collection: users, processes, startup items, services, network information, scheduled tasks, and system logs.
4: Agent-Linux supports collection: users, processes, startup items, services, network information, historical commands, and system logs.
5: Gui has built-in Chinese and English, and supports extended languages.

2.客戶端界面

????目前版本更新到了v1.0.1，Agent支持Linux、Windows操作系統(tǒng)，Gui則只支持Windows操作系統(tǒng)。

Agent支持的操作系統(tǒng)

Agent支持靈活配置采集任務(wù)，不僅可以對(duì)任務(wù)進(jìn)行開關(guān)，也可以針對(duì)日志采集進(jìn)行時(shí)間段采集配置，提升采集效率和精確度。

FireKylinAgent界面

使用方式比較

????在以往的應(yīng)急響應(yīng)中，我們安全專家經(jīng)常需要一起登陸目標(biāo)主機(jī)，我們可能是通過堡壘機(jī)或者直接ssh到目標(biāo)服務(wù)器，意味著安全密鑰可能要發(fā)放給各個(gè)需要研判的安全人員，可能在此過程中就會(huì)對(duì)秘鑰的安全性造成威脅。FireKylin則只需要具有權(quán)限的人員進(jìn)行上機(jī)操作，將結(jié)果發(fā)放給各個(gè)安全人員。

傳統(tǒng)方式與FireKylin比較

支持更多的場景
在應(yīng)急響應(yīng)中安全專家經(jīng)常對(duì)異地或者遠(yuǎn)程服務(wù)進(jìn)行安全事件檢查，但是遠(yuǎn)程服務(wù)器經(jīng)常處于無任何接入方法的場景，對(duì)于這種場景在傳統(tǒng)的解決方案中可能需要具有權(quán)限的操作人員使用其他跳板機(jī)為安全專家提供遠(yuǎn)程接入點(diǎn)，但是跳板機(jī)經(jīng)常是具有一定風(fēng)險(xiǎn)的。FireKylin則只需要操作人員運(yùn)行Agent程序然后將結(jié)果發(fā)送給我們的安全人員進(jìn)行事件排查。

無法可達(dá)目標(biāo)的場景應(yīng)用對(duì)比

3.使用教程

默認(rèn)的語言是英文，需要在Settings->Language->選擇zh-cn點(diǎn)SetLanguage。選擇完語言會(huì)自動(dòng)重啟GUI，然后就是中文的啦。

設(shè)置語言

Agent配置：

start 開啟任務(wù)。

print或者ls 打印任務(wù)配置。

1=false或者user=false是關(guān)閉用戶采集任務(wù)，其他的雷同。

日志配置比較復(fù)雜哦：

config syslog是查看日志配置項(xiàng)。

config syslog.begintime=2021-01-01 01:01:01 是設(shè)置開始采集的時(shí)間。結(jié)束時(shí)間雷同。需要注意的是開始時(shí)間設(shè)置0則不限制開始事件，結(jié)束時(shí)間設(shè)置為0則不限制結(jié)束時(shí)間。文章來源地址http://www.zghlxwxcb.cn/news/detail-745677.html

4.工具下載

https://github.com/MountCloud/FireKylin/releases/tag/v1.4.0

到了這里，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工具(系統(tǒng)痕跡采集)-FireKylin的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！