Beagle是一个事件响应和数字取证工具,它将数据源和日志转换为图形。支持的数据源包括FireEyeHX分类、WidowsEVTX文件、Sysmo日志和原始Widows内存映像。生成的图形可以发送到图形数据库(如NEO4J或DGraph),也可以作为pythoetworkx对象保存在本地。
Beagle可作为一个Pytho开发包直接使用,或者通过其Web接口使用。
也可以作为函数调用:
>>>frombeagle.datasourcesimportSysmoEVTX>>>graph=SysmoEVTX("malicious.evtx").to_graph()>>>graph<etworkx.classes.multidigraph.MultiDiGraphat0x12700ee10>>>>frombeagle.backedsimportNetworkX>>>frombeagle.datasourcesimportSysmoEVTX>>>frombeagle.trasformersimportSysmoTrasformer>>>datasource=SysmoEVTX("malicious.evtx")#Trasformerstakeadatasource,adtrasformeachevet#itoatupleofoeormoreodes.>>>trasformer=SysmoTrasformer(datasource=datasource)>>>odes=trasformer.ru()#Trasformersoutputaarrayofodes.[(<SysMoProc>process_guid="{0ad3e319-0c16-59c8-0000-0010d47d0000}"),(<File>host="DESKTOP-2C3IQHO"full_path="C:\Widows\System32\services.exe"),...]#Backedstaketheodes,adtrasformthemitographs>>>backed=NetworkX(odes=odes)>>>G=backed.graph()<etworkx.classes.multidigraph.MultiDiGraphat0x126b887f0>
评论