用于控制和使用实时端点响应客户端的库和实用程序。
lerc-control的Python项目详细描述
实时端点响应客户端控件
LERC控件提供用于交互和控制客户端(通过LERC服务器API)以执行实时响应和管理操作的实用程序。当与pip3一起安装时,lerc控件可以用作库或“lerc_ui”脚本可供全局使用。
功能
- 从客户端上载文件
- 包含具有Windows防火墙的客户端(可配置的防火墙规则)
- 将文件下载到客户端
- 在客户端上运行命令
- 执行脚本化例程
- 创建脚本化的例程并保存它们以备将来使用
- 从指定的集合脚本自动生成集合参数
- 通过自定义的可扩展模块执行复杂的集合例程
- 收集wmi数据(启动、服务、时区、netuse、nic)
- 收集自动运行、进程句柄、进程列表等。
- 执行修正操作(文件/注册表删除、服务删除、计划任务删除、进程终止)-也是可扩展的模块格式
- 向LERC服务器查询客户端状态和客户端命令历史记录
开始
您可以使用pip3安装lerc_控件:
pip3 install lerc-control
一旦您有一个工作的LERC服务器并生成了要使用的LERC控件的分析证书,就需要完成您的LERC控件配置。默认情况下,LERC控件检查以下位置的配置文件:
/<python-lib-where-lerc_control-installed>/etc/lerc.ini
/etc/lerc_control/lerc.ini
/opt/lerc/lerc_control/etc/lerc.ini
~/<current-user>/.lerc_control/lerc.ini
在以后的配置文件中找到的配置项比以前的配置项有保留。这允许不同的用户具有不同的设置,例如用户特定的验证证书,并允许覆盖默认值。
需要以下配置项:
[default]
server=<url or hostname of LERC server>
ignore_system_proxy=<True OR False>
client_cert=<path to client certificate>
client_key=<path to client certificate key>
server_ca_cert=<path to the certificate authority cert that signed the LERC server cert>
client_working_dir=<the default directory LERCs should work out of, something like 'C:\Program Files (x86)\Integral Defense\'>
client_installer=<path to lercSetup.msi>
lerc_install_cmd=<default client install command, something like 'msiexec /quiet /qn /l lerc_install.log /i lercSetup.msi company=0 reconnectdelay=15 chunksize=2048 serverurls="https://your-lerc-server/"'>
production_lerc_version=<this should always reflect the current version string of the LERC you have in production, ex: 1.0.0.0>
默认配置项
以下是可以覆盖的默认值:
[default]
# script used to upgrade clients
upgrade_bat=tools/upgrade.bat
upgrade_cmd=upgrade.bat {} 15 2048 "https://{}/"
# containment script used to perform safe containments
containment_bat=tools/safe_contain.bat
contain_cmd=safe_contain.bat {}
[default_collect]
# Browsing history
browser_history_exe_path=tools/BrowsingHistoryView.exe
browserHistoryView_cmd=BrowsingHistoryView.exe /sort 2 /HistorySource 1 /VisitTimeFilterType 1 /scomma browserhistory.csv
# see what processes have a handle on a specific file/directory, or '-a' to get handles for all running processs
handles_file_cmd=handle.exe /accepteula "{}"
# 7za for compressing files and directories by collect.py
7za_path=tools/7za.exe
7za_dir_cmd=7za.exe a -r {}.7z "{}"
[scripts]
collect_browsing_history=scripts/collect_browsing_history.ini
collect_wmi_data=scripts/collect_wmi_data.ini
文档
文档仍在进行中,但您可以在这里找到它http://lerc.readthedocs.io/