Windows自动化分析网络安全应急响应工具

该工具是专为网络安全蓝队设计的应急响应工具，旨在帮助团队成员有效地应对和分析网络安全威胁。工具集成了先进的信息搜集和自动化分析功能，以提高安全事件应对的效率和准确性。

0x01 核心特点

综合信息搜集

• 系统基本信息: 除了输出系统详细信息以外，还会检查系统配置和补丁，识别可利用的漏洞。
• 网络信息: 分析当前网络连接，如果填写了微步 API 即可轻松识别异常网络，本产品会根据异常网络情况找到对应的进程然后进行分析和识别。
• 开机启动项: 审查启动时自动执行的程序。
• 计划任务: 检测可能隐藏的恶意计划任务。
• 进程排查: 识别和分析运行中的可疑或异常进程，快速定位后门文件。
• 敏感目录排查: 检查关键文件和目录的异常变更。
• 日志排查: 深入分析系统和应用日志，寻找安全事件的痕迹，会根据日志进行汇总方便人员进行分析。
• 账户检测: 识别各个场景下创建的隐藏账户、克隆账户。

自动化威胁分析(填写微步 API 后)

• 自动识别异常 IP、进程和文件，显著提高分析效率。
• 突出显示异常情况，使得团队成员能够集中关注重点进程。

快速异常识别与响应

• 提供即时的异常检测和响应建议，帮助蓝队迅速应对威胁。

用户友好界面

• 界面设计简洁直观，适合各水平的蓝队成员，包括网络安全领域新手。
• 支持一键分析预览异常情况，快速定位风险项。

0x02 安装与使用

1、架构

该工具采用客户端-服务器（CS）架构，可以在本地进行一键扫描，也可以使用 Agent 进行扫描然后录入扫描结果，适用于无法直接登录远程主机进行安全检查的场景。

2、工具使用

本地扫描：

一键扫描即可（Windows推荐此方式），macOS不支持本地扫描。

通过本机扫描分析，启动本地扫描，并显示扫描结果。

等待分析完成，可在UI页面中，基本信息，补丁信息，用户，网络信息，开机启动项等分析结果。

远程扫描：

Agent客户端已单独提供，单独运行Agent，结果位于C:\FindAllresult.hb，然后再将结果文件上传到FindAll GUI客户端进行分析。

运行Agent程序，查看C:\FindAll目录以及生成结果文件。

（注意：需要管理员权限，无回显，后台静默执行，速度很快）

在上传文件分析处导入result.hb，自动开始分析，片刻后即可显示结果。

涉及到进程相关的排查项，会判断是否异常，目前看到的判断依据是有无签名。

3、系统支持

• GUI 客户端支持 Windows 10 及以上版本，还有 macOS 系统。
• 服务器 Agent 支持 Windows Server 2008 及以上版本。
• 其他系统需自行测试兼容性。

0x03 声明

这款工具的推出将极大地提升蓝队应对网络安全事件的能力，不仅有助于提高响应效率，还能够降低工作复杂性。通过提供全面的信息搜集和高效的威胁分析，我们可以帮助蓝队成员在复杂的网络环境中保持优势，但应急响应是一个十分复杂的工作此工具只能帮助蓝队人员收集部分信息，如有异常发现还是需要进入客户电脑进行仔细分析，无法与市面上商业的取证分析软件相比。

1. https://github.com/FindAllTeam/FindAll

原文始发于微信公众号（安全之眼SecEye）：神兵利器 | Windows自动化分析网络安全应急响应工具