0x01 概念
DFIRTrack(Digital Forensics and Incident Response Tracking application),即数字取证和事件响应跟踪应用程序。它是一款开源的Web应用程序,基于开发,后端数据库为数据库。
DFIRTrack专注于处理一个重大安全事件,其中需要涉及到多个受影响的系统,这也符合很多APT攻击事件的特性。在大型网络攻击事件场景下,它可以被用作专门的事件响应工具。当然了,CERT和SOC也可以使用DFIRTrack,不过它只能在特殊情况下使用,并不适用于日常响应工作。
项目地址:https://github.com/stuhli/dfirtrack
0x02 项目依赖
django (2.0)
django_q
djangorestframework
gunicorn
postgresql
psycopg2-binary
python3-pip
PyYAML
requests
virtualenv
xlwt
0x03 安装 postgresql
https://www.postgresql.org/download/linux/ubuntu/
#创建文件存储库配置:
sudo sh -c'echo“ deb http://apt.postgresql.org/pub/repos/apt $(lsb_release -cs)-pgdg main”> /etc/apt/sources.list。 d / pgdg.list'
#导入存储库签名密钥:
wget --quiet -O-https : //www.postgresql.org/media/keys/ACCC4CF8.asc | sudo apt-key add-
#更新软件包列表:
sudo apt-get update
#安装最新版本的PostgreSQL。
#如果要使用特定版本,请使用'postgresql-12'或类似的名称代替'postgresql':
sudo apt-get -y install postgresql
也可以直接使用apt get 安装,但是版本是 postgresql 10 而不是最新的 12 (2020.12)
0x04 DFIRTrack 部署
克隆存储库:
$ git clone https://github.com/stuhli/dfirtrack.git ~/dfirtrack
安装虚拟环境
apt install virtualenv
创建虚拟环境:
$ virtualenv -p /usr/bin/python3 ~/dfirtrack/venv
激活虚拟环境:
$ source ~/dfirtrack/venv/bin/activate
安装依赖项:
(venv) $ pip3 install -r ~/dfirtrack/requirements.txt
转到DFIRTrack文件夹:
(venv) $ cd ~/dfirtrack
设置初始数据库数据:
(venv) $ python3 manage.py migrate
创建管理员用户,并按照提供的说明进行操作:
(venv) $ python3 manage.py createsuperuser
启动开发服务器:
(venv) $ python3 manage.py runserver或(venv) $ python3 manage.py runserver 0:8000
浏览到 localhost:8000 登录
如果使用此设置进行测试,但未创建local_settings.py文件,请打开调试模式dfirtrack/settings.py(否则您将遇到静态文件问题):
DEBUG = True