事件響應法證框架

為ElasticSearch後端上的非同步法醫數據呈現定制的應用程序。此應用程序設計用於接收Mandiant紅線“集合”檔案，並在蒐索/堆棧和標記方面提供靈活性。該應用程序的誕生是因為無法在一塊玻璃中控制多個調查（或數百個端點）。

要接收紅線稽核，可以使用nightHawk.GO，這是一個完全成熟的GOpher應用程序，專為這個框架而設計。應用程序的原始程式碼在此repo中可用，二進位檔案已編譯並在iso中運行，準備從第一次啟動時攝取。

nightHawk.GO

特徵：

• 單視圖端點取證（多個稽核類型）。
• 全球蒐索。
• 時間安排。
• 堆疊。
• 標記。
• 互動式行程樹視圖。
• 多個文件上傳和命名調查。

夜鷹ISO

為了讓夜鷹的用戶直接使用它，我們建立了一個ISO，所有設定都準備就緒。這意味著你會得到以下資訊；

• 夜鷹最新消息來源。
• CentOS 7最小，覈心libs需要操作夜鷹。
• 反向代理中的Nginx和UWSGI設定（嵌入並優化），啟用SSL。
• 最新的ElasticSearch/Kibana（如果需要，Kibana可以公開和使用）。
• 所有覈心服務的Sysctrl。
• 所有覈心服務的日誌記錄（輪換）。
• 可配置的系統設置，這些設定的清單可以在/opt/nightwawk/etc/nightwawk.json檔案中找到。

/opt/nighthawk/etc/nightHawk.json

啟動系統：

在使用提供的ISO構建虛擬機器之前，請考慮以下因素：；

• CPU/RAM。

掛起：將彈性服務設定為雙節點，每個節點分配1/4的系統記憶體。這意味著如果給它2GB的RAM，每個ES節點將是512mb，系統將保持1GB的運行。

如果您想以任何不同的管道進行設定，請將ssh放入框中並配寘所需的管道。

• 硬碟機。

至少應考慮20GB。稽核檔案可能很大，囙此建議您分配大量存儲來處理接收多個集合。

依賴項（所有預安裝的）：

elasticsearch-dsl.py django 1.8 python請求

elasticsearch-dsl.py django 1.8 python requests

安裝：

下載ISO:NightHawkv1.0

配寘硬體，將ISO裝入VM，啟動安裝腳本。

完成後，在瀏覽器（Chrome/FireFox）中轉到：https://192.168.42.173。

https://192.168.42.173

如果您需要訪問Kibana，請轉到；https://192.168.42.173:8443。

https://192.168.42.173:8443

如果您需要SSH到這個框中，登入詳細資訊是：admin/nightwawk。

admin/nightHawk

如果要更改IP地址（反映的應用程序範圍）；/opt/nightwawk/bin/nightwawkctl set IP<new_IP address>

/opt/nighthawk/bin/nighthawkctl set-ip <new_ipaddress>

紅線批註稽核集合腳本可以在此repo的根目錄中找到。