【应急响应工具教程】一款自动化分析网络安全应急响应工具--FindAll
1、工具介绍
FindAll 是一款安全团队开发的轻量化蓝队工具,专为应急响应场景设计,主打信息收集与威胁情报联动,尤其适合团队快速排查多台主机的安全风险。同时FindAll采用客户端-服务器(CS)架构,特别适用于那些无法直接登录远程主机进行安全检查的场景。
FindAll相比于其他工具,最大的特点就是它的综合的信息收集和界面设计简洁明了,用户无需深入了解复杂的命令行操作,大大降低了使用门槛。这使得即使是网络安全领域的新手也能够轻松上手,有效地进行数据分析和安全事件排查。
以下是它信息采集的类别
1.系统基本信息
2.系统补丁信息
3.用户信息
4.网络信息
5.开机启动项
6.任务计划
7.进程排查
8.痕迹
9.日志
2、下载地址
1.官网下载
https://github.com/FindAllTeam/FindAll
2.系统支持
-
GUI 客户端支持 Windows 10 及以上版本,还有 macOS 系统。
-
服务器 Agent 支持 Windows Server 2008 及以上版本。
-
其他系统需自行测试兼容性。
3.安装--下载安装包一键安装即可
4.安装的默认路径是C:\Program Files\FindAll
5.其中FindAll\resources\buildResources中,包含着Agent程序,用于远程扫描
3、操作与使用
1.本地扫描
这一块没什么好说的,点击开始就完事了(macOS不支持本地扫描)
2.远程扫描
Findall不仅支持本地收集信息进行应急还支持远程收集信息,可以更好地增强团队协作。
远程收集:
单独运行Agent,结果位于C:\\Findall\\result.hb,然后再将结果文件上传到FindAll GUI客户端进行分析。(Agent需管理员权限运行)
3.威胁情报联动
可提供额外的API设置入口,方便与服务端联动,
做到自动识别异常IP、进程和文件,显著提高分析效率。
4、使用说明
这里以某一靶场举例说明,在安装FindAll本地扫描后,许多关键信息,异常状态能够很轻松的看到。
不用再辛苦的netstat -anto了
查看最近运行过的文件以及临时文件
5、参考文章
官方文档:https://findallteam.github.io