Beagle 项目使用教程
1. 项目的目录结构及介绍
Beagle 是一个开源的 incident response 和 digital forensics 工具,它可以将安全日志和数据转换为图形。以下是 Beagle 项目的目录结构及其介绍:
beagle/
: 项目的主目录。docs/
: 包含项目的文档文件。tests/
: 包含项目的测试代码。.coveragerc
: 覆盖率配置文件。.dockerignore
: Docker 构建时需要忽略的文件列表。.gitignore
: Git 忽略文件列表。readthedocs.yml
: Read the Docs 配置文件。travis.yml
: Travis CI 配置文件。CHANGELOG.md
: 项目更新日志。Dockerfile
: Docker 构建文件。LICENSE
: 项目许可证文件。MANIFEST.in
: 打包时包含的文件列表。Pipfile
: Python 依赖管理文件。Pipfile.lock
: Pipfile 的锁定文件。README.md
: 项目自述文件。pytest.ini
: Pytest 配置文件。setup.py
: Python 包设置文件。
2. 项目的启动文件介绍
Beagle 项目可以通过 Docker 或直接作为 Python 包进行启动。
Docker 启动
使用以下命令拉取 Docker 镜像并启动容器:
docker pull yampelo/beagle
mkdir -p data/beagle
docker run -v "$PWD/data/beagle":/data/beagle -p 8000:8000 yampelo/beagle
Python 包启动
首先,安装 Beagle Python 包:
pip install pybeagle
然后,可以通过 Python 代码直接使用 Beagle 库:
from beagle.datasources import SysmonEVTX
graph = SysmonEVTX("malicious.evtx").to_graph()
3. 项目的配置文件介绍
Beagle 使用配置文件来管理不同的设置。配置文件通常位于项目的根目录中,名为 config.yml
或 beagle.yml
。
配置文件包含多个部分,以下是常见配置的说明:
storage
: 定义了 Beagle 存储数据的位置,例如图形文件和日志。VIRUSTOTAL
: 定义了 VirusTotal API Key,用于查询病毒和恶意软件信息。web
: 包含了 Web 界面的相关设置,如端口和主题。
配置文件示例:
storage:
dir: /data/beagle
VIRUSTOTAL:
API_KEY: your_virustotal_api_key
web:
port: 8000
theme: default
可以通过环境变量来覆盖配置文件中的设置,例如:
docker run -v "$PWD/data/beagle":/data/beagle -p 8000:8000 -e "BEAGLE__VIRUSTOTAL__API_KEY=your_virustotal_api_key" yampelo/beagle
请根据您的需求调整配置文件和启动命令。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考