Графический интерфейс для volatility [GUI for Volatility Framework]

Недавно обновился VolUtility -  web-бейс интерфейс для известного инструмента форенсики.

https://techanarchy.net/2016/04/volutility-a-web-front-end-for-the-volatility-framework/

 

После установки Centos7 на варю, использовал скрипт с гита разработчика, который позволяет автоматизировать установку. (VolUtility + Volatility Framework)
https://raw.githubusercontent.com/kevthehermit/VolUtility/master/centos_7_bootstrap.sh

Стартуем:
cd /opt/tools/VolUtility/
./manage.py runserver 0.0.0.0:8000

Очень приятный ифейс, для выполнение рутинных задач. Полный гайд по нему, есть по ссылке выше(видео)

После загрузки слепка памяти(в моем случае это седьмая форточка) для анализа:

Генерация дерева процессов:

Выгрузка артефактов и т.п.

Скрипт установки Splunk

Для автоматического развертывания мониторинга логов в реальном времени. Отладка.

Скрипт взят из репозитория:

https://raw.githubusercontent.com/StackGeek/openstackgeek/master/icehouse/openstack_splunk.sh

Развертывание Openstack скрипты:

https://github.com/StackGeek/openstackgeek

Обзор, настройка и тестирование Fireeye HX [Configure Fireeye HX +CM+NX] Часть1

Решение Fireeye HX позволяет отслеживать вредоносную активность на рабочей станции, для более оперативного реагирование на инциденты информационной безопасности, расследование инцидентов (forensic, слепки памяти и т.п.) и изоляцией зараженной станции, для предотвращения распространения инфекции далее по сети.

Недавно HX попал в нашу лабораторию и я сделал базовые настройки и протестировал отработку связки - CM + NX + HX. 

CM - платформа "центрального менеджмента" для остальных устройств, служит так же для обмена индикаторами компрометации (IOC) между всеми устройствами.

NX - предназначен для анализа проходящего через него трафика, на наличие вредоносного кода или аномальной активности.

HX - было упомянуто в самом начале :) 

Топологию можно найти в других постах, просто к ней добавилось устройство HX, которое было подключено к CM :
Базовая настройка Fireeye NX EX FX CM basic config

http://devnulls.blogspot.com/2015/04/fireeye-nx-ex-fx-cm-basic-config.html
Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA

http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-url-dynamic-analysis.html
BCC. Postfix / MS Exchange + Fireeye EX

http://devnulls.blogspot.com/2015/07/bcc-postfix.html
Настройка и тестирование Fireeye EX в режиме MTA / Fireeye EX MTA config

http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-fireeye-ex-mta-config.html