法医鉴定器
diff的Python项目详细描述
diffy是由 Netflix的安全情报和反应小组(SIRT)。
diffy允许法医调查员快速确定云上的折衷方案 事件期间的实例,并将这些实例分为后续操作。 diffy目前专注于运行在amazon web中的linux实例 服务(aws),但由于我们的插件结构,可以支持多个 平台和云提供商。
它被称为“diffy”,因为它帮助人类调查员识别 实例之间的差异,因为Alex指出 扩散器“是不必要的棘手。
有关最近的更改,请参见Releases。参见our Read the Docs site了解 格式良好的文档。
支持的技术
- AWS(AWS系统经理/SSM)
- 本地
- osquery
每种技术都有自己的插件用于定位、收集和持久化。
功能
有效地突出安全相关实例行为中的异常值。为了 例如,您可以使用diffy来告诉您哪些实例正在监听 在意外的端口上,正在运行一个不寻常的进程,包括 crontab条目,或者插入了一个令人惊讶的内核模块。
使用两种方法中的一种或两种来突出显示差异:
- Collection of a “functional” baseline from a “clean” running instance, against which your instance group is compared, and
- Collection of a “clustered” baseline, in which all instances are surveyed, and outliers are made obvious.
使用基于插件的模块化架构。我们目前包括 通过aws系统管理器使用osquery的集合(以前称为simple 系统经理或SSM)。
安装
通过PIP:
pip install diffy
欢迎加入QQ群-->: 979659372
