Beagle是一个事件响应和数字取证工具,它将数据源和日志转换为图形。支持的数据源包括FireEyeHX分类、WindowsEVTX文件、Sysmon日志和原始Windows内存映像。生成的图形可以发送到图形数据库(如NEO4J或DGraph),也可以作为pythonnetworkx对象保存在本地。
Beagle可作为一个Python开发包直接使用,或者通过其Web接口使用。
也可以作为函数调用:
>>>frombeagle.datasourcesimportSysmonEVTX>>>graph=SysmonEVTX("malicious.evtx").to_graph()>>>graph<networkx.classes.multidigraph.MultiDiGraphat0x12700ee10>>>>frombeagle.backendsimportNetworkX>>>frombeagle.datasourcesimportSysmonEVTX>>>frombeagle.transformersimportSysmonTransformer>>>datasource=SysmonEVTX("malicious.evtx")#Transformerstakeadatasource,andtransformeachevent#intoatupleofoneormorenodes.>>>transformer=SysmonTransformer(datasource=datasource)>>>nodes=transformer.run()#Transformersoutputanarrayofnodes.[(<SysMonProc>process_guid="{0ad3e319-0c16-59c8-0000-0010d47d0000}"),(<File>host="DESKTOP-2C3IQHO"full_path="C:\Windows\System32\services.exe"),...]#Backendstakethenodes,andtransformthemintographs>>>backend=NetworkX(nodes=nodes)>>>G=backend.graph()<networkx.classes.multidigraph.MultiDiGraphat0x126b887f0>
评论