beagle是一款功能強大的圖形化事件響應與數字取證安全分析工具,支援fireeye hx triages、windows evtx檔案、sysmon日誌以及windows記憶體源映象等多種資料來源。匯出的圖形化分析結果可以傳送至類似neo4j和dgraph這樣的圖形化資料庫,或者直接以python networkx物件儲存在本地。
beagle能夠以python庫的形式使用,或者直接在web介面中呼叫:
2.png
庫可以直接通過函式呼叫序列來呼叫:
>>>from beagle.datasources import sysmonevtx
>>>graph = sysmonevtx("malicious.evtx").to_graph()
>>>graph
或嚴格按照圖形處理過程中呼叫資料來源的每乙個分析步驟來進行呼叫:
>>>from beagle.backends import networkx
>>>from beagle.datasources import sysmonevtx
>>>from beagle.transformers import sysmontransformer
>>>datasource = sysmonevtx("malicious.evtx")
#transformers take a datasource, and transform each event
#into a tuple of one or more nodes.
>>>transformer = sysmontransformer(datasource=datasource)
>>>nodes = transformer.run()
#transformers output an array of nodes.
[ (process_guid=""),
(host="desktop-2c3iqho"full_path="c:\windows\system32\services.exe"),
...]
#backends take the nodes, and transform them into graphs
>>>backend = networkx(nodes=nodes)
>>>g = backend.graph()
圖形化輸出位於每乙個分析程序的中間位置,可以幫助研究人員快速了解目標主機中的詳細狀態。
工具安裝
docker
beagle能夠直接以docker檔案來安裝使用:
docker pull yampelo/beagle
mkdir -p data/beagle
docker run -v "$pwd/data/beagle":"/data/beagle" -p 8000:8000yampelo/beagle
python包
beagle還能夠以python庫的形式使用。
注意:目前beagle僅支援python 3.6+。
安裝完成後,使用下列命令安裝rekall:
pip install pybeagle[rekall]
相頻響應與群延遲
雖然相頻響應反映了系統對不同頻率訊號的處理時間,但並不是說相頻響應越大,系統的處理時間越長。從乙個簡單的正弦訊號exp j w n 可以知道,其相位為w t,也即是說相位不僅和時間有關,還和頻率有關。理想的系統對各頻率的處理時間是一樣的,w n中t固定,以相頻響應曲線表示時,由於橫軸是頻率f,所以理...
相頻響應與群延遲
雖然相頻響應反映了系統對不同頻率訊號的處理時間,但並不是說相頻響應越大,系統的處理時間越長。從乙個簡單的正弦訊號exp j w n 可以知道,其相位為w n,也即是說相位不僅和時間有關,還和頻率有關。在訊號處理中,群延遲 group delay 是用來表徵系統延遲時間的另外乙個概念,其數學定義式如下...
相頻響應與群延遲
相頻響應與群延遲 雖然相頻響應反映了系統對不同頻率訊號的處理時間,但並不是說相頻響應越大,系統的處理時間越長。從乙個簡單的正弦訊號exp j w n 可以知道,其相位為w n,也即是說相位不僅和時間有關,還和頻率有關。在訊號處理中,群延遲 group delay 是用來表徵系統延遲時間的另外乙個概念...