ACE — автоматизированный сбор данных — Information Security Squad

ACE — автоматизированный сбор данных

Платформа Automated Collection and Enrichment (ACE) — это набор инструментов для сбора данных из многих конечных точек в сети и автоматического пополнения данных.

Данные собираются путем запуска скриптов на каждом компьютере без установки какого-либо программного обеспечения на целевой машине.

ACE поддерживает сбор с хостов Windows, MacOS и Linux.

ACE предназначен для упрощения процесса удаленного сбора данных в среде, предлагая управление учетными данными, планирование, централизованное управление сценариями и удаленное скачивание файлов.

ACE предназначена для дополнения SIEM путем сбора и обогащения данных; окончательный анализ лучше всего подходит для инструментов SIEM, таких как Splunk, ELK или инструменты, которые предпочитает аналитик.

Зачем использовать ACE

ACE собрана из необходимости проводить а в местах с общими ограничениями:

  • На целевые хосты не может быть установлен выделенный программный агент.
  • Копирование и запуск исполняемых файлов (например, инструменты Sysinternals) нецелесообразны.
  • Клиент не может включить Windows Remoting (WinRM).
  • Видимость клиента для хостов macOS / Linux ограничена или отсутствует.
  • Новые сценарии / инструменты должны быть созданы для данных, специфичных для клиента.
  • Для сегментации сети требуется несколько учетных данных для доступа ко всем машинам в среде.

Установка / Что такое архитектура ACE?

ACE имеет три компонента: веб-службу ACE, базу данных ACE SQL и очередь сообщений ACE RabbitMQ.

Веб-служба представляет собой RESTful API, который принимает запросы от клиентов для планирования и управления сканированиями.

База данных SQL хранит конфигурацию и данные из сканирования.

Служба RabbitMQ обрабатывает автоматическое обогащение данных.

Каждая из служб может быть развернута на отдельных машинах или на одном сервере.

Вы можете использовать предоставленные образы Docker для простого развертывания готовых ACE-сервисов.

ACE имеет три компонента: веб-службу ACE, базу данных ACE SQL и очередь сообщений ACE RabbitMQ.

Веб-служба представляет собой RESTful API, который принимает запросы от клиентов для планирования и управления сканированиями.

База данных SQL хранит конфигурацию и данные о сканировании.

Служба RabbitMQ обрабатывает автоматический сбор данных.

Каждая из служб может быть развернута на отдельных машинах или на одном сервере.

Вы можете использовать предоставленные изображения Docker для простого развертывания готовых ACE-сервисов.

Репозиторий ACE включает в себя набор сценариев PowerShell для взаимодействия с веб-службой ACE, включая добавление пользователей, управление учетными данными, загрузку сценариев сбора и планирование сканирования.

После развертывания серверов ACE используйте New-AceUser для создания нового пользователя ACE.

Удалите пользователя «Admin» по умолчанию с помощью Remove-AceUser.

Используйте New-AceCredential для ввода набора учетных данных.

Запустите Start-AceDiscovery, чтобы автоматически находить компьютеры в домене Windows.

Запустите Start-AceSweep, чтобы запустить развертку для запуска выбранных сценариев по обнаруженным конечным точкам.

Использование / Как использовать ACE?

Репозиторий ACE включает в себя набор сценариев PowerShell для взаимодействия с веб-службой ACE, включая добавление пользователей, управление учетными данными, загрузку сценариев сбора и планирование сканирования.

После развертывания серверов ACE используйте New-AceUser для создания нового пользователя ACE.

Удалите пользователя «Admin» по умолчанию с помощью Remove-AceUser.

Используйте New-AceCredential для ввода набора учетных данных.

Запустите Start-AceDiscovery, чтобы автоматически находить компьютеры в домене Windows.

Запустите Start-AceSweep, чтобы запустить разверорачивание для запуска выбранных сценариев по обнаруженным конечным точкам.

Как добавить скрипты в ACE?

Скрипты ACE должны быть автономными скриптами для сбора данных.

Они должны вернуть объект JSON с данными, которые необходимо собрать.

Командлет ConvertTo-JsonV2 можно использовать в ACE для преобразования PSObjects в объекты JSON в совместимом с PowerShell V2.

Мы рекомендуем PSRelect для доступа к встроенному интерфейсу Native / Win32 API в совместимом с PowerShell V2 образом. См. Get-InjectedThread для примера использования.

Используйте New-ACEScript для загрузки нового сценария в ACE. Новый скрипт может быть добавлен к существующим запланированным зачисткам или включен в новые развертки.

Какие целевых точки поддерживаются ACE?

Вложенные скрипты предназначены для совместимости с PowerShell V2 + и Python 2.7 и должны работать на Windows 7 / Server 2008 R2 и более поздних версиях, а также на большинстве версий macOS и Linux.

Скачать ACE

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40