Beagle 介绍
Beagle是一个事件响应和数字取证工具,它将数据源和日志转换为图形。支持的数据源包括FireEye HX分类、Windows
EVTX文件、Sysmon日志和原始Windows内存映像。生成的图形可以发送到图形数据库(如NEO4J或DGraph),也可以作为python
networkx对象保存在本地。
Beagle 可作为一个 Python 开发包直接使用,或者通过其 Web 接口使用。
>>> from beagle.datasources import SysmonEVTX
>>> graph = SysmonEVTX("malicIoUs.evtx").to_graph()
>>> graph
<networkx.classes.multidigraph.MultiDiGraph at 0x12700ee10>
>>> from beagle.backends import NetworkX
>>> from beagle.datasources import SysmonEVTX
>>> from beagle.transformers import SysmonTransformer
>>> datasource = SysmonEVTX("malicIoUs.evtx")
# Transformers take a datasource, and transform each event
# into a tuple of one or more nodes.
>>> transformer = SysmonTransformer(datasource=datasource)
>>> nodes = transformer.run()
# Transformers output an array of nodes.
[
(<SysMonProc> process_guid="{0ad3e319-0c16-59c8-0000-0010d47d0000}"),
(<File> host="DESKTOP-2C3IQHO" full_path="C:\Windows\System32\services.exe"),
...
]
# Backends take the nodes, and transform them into graphs
>>> backend = NetworkX(nodes=nodes)
>>> G = backend.graph()
<networkx.classes.multidigraph.MultiDiGraph at 0x126b887f0>
Beagle 官网
https://github.com/yampelo/beagle
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
