**KANVAS** 是一款带有直观桌面界面的 IR（应急响应）案件管理工具，使用 Python 构建。它为使用 SOD（Spreadsheet of Doom）或类似电子表格的调查人员提供了一个统一的工作空间，使得无需在多个应用程序之间切换即可完成关键工作流。 ## ✨ 主要特性 ### 🎲 **案件管理** - **基于 SOD (Spreadsheet of Doom) 构建**：所有数据保留在电子表格中，使得分发和协作变得简单——甚至在应用程序之外也是如此。 - **多用户支持**：文件可以驻留在本地机器或共享驱动器上，支持多名调查人员积极协作。文件锁定机制确保了编辑操作得到妥善管理并避免冲突。 - **一键脱敏**：允许通过单击对电子表格数据（如域名、URL、IP 地址等）进行脱敏处理，使其易于共享和存储。 ### 📊 **数据可视化** - 📌**攻击链可视化**：可视化横向移动过程，以便快速审查攻击者的攻击路径。重新绘制选项有助于以多种方式展示图表。 - 📌**事件时间线**：事件时间线按时间顺序呈现，帮助调查人员快速了解整体事件的顺序和时间点。 - 📌**MITRE Flow Builder**：允许您可视化并共享攻击者的行动序列。您可以使用攻击者的 TTP 填充流程，然后将它们链接起来以映射在事件中观察到的技术序列。 - **导出用于报告**：横向移动和时间线可视化可以导出为图像文件或 CSV，允许直接用于演示文稿或调查报告中。 ``` SOD Spreadsheets/ ├── Timeline/ │ ├── Timestamp_UTC_0 │ ├── EvidenceType │ ├── Event System │ ├── <-> │ ├── Remote System │ ├── MITRE Tactic │ ├── MITRE Techniques │ └── Visualize └── Systems/ ├── HostName ├── IPAddress └── SystemType ``` ### 👀 **威胁情报查询** - **IP 信誉**：通过多种 API 集成查询 IP 信誉、地理位置、开放端口、已知漏洞等信息。 - **域名 / URL 洞察**：通过多种 API 集成查询 WHOIS 数据、DNS 记录等信息。 - **文件哈希洞察**：根据哈希值在各种平台上查询二进制文件的洞察信息。 - **CVE 洞察**：基于 CISA 和其他漏洞情报来源查询已知漏洞利用的信息。 - **电子邮件洞察**：查询电子邮件地址是否出现在任何已知数据泄露事件中的信息。 - 📌**勒索软件受害者**：验证客户或组织的数据在勒索软件攻击后是否已被发布在网上。 ### 🛡️ **安全框架映射** - **MITRE ATT&CK 映射**：提供最新的 MITRE 战术和技术，用于映射攻击者的活动。 - 📌**MITRE D3FEND 映射**：帮助基于识别出的 ATT&CK 技术映射防御策略。这在从防御者角度响应事件时特别有用。 - **V.E.R.I.S. 报告**：提供一个用于跟踪 VERIS 数据的界面，该界面可在事件发生后与各个政府机构共享，并为 Verizon 数据泄露报告做出贡献。 ### 📝 **一键生成报告** - 📌**HTML 报告**：报告以单个自包含的 HTML 文件形式生成。所有图像均经过 Base64 编码并直接嵌入文档中，因此无需管理或共享单独的图像文件，只需一个 HTML 文件即可。 - **报告内容**：事件时间线、横向移动、钻石模型、调查摘要、安全建议等。 ### 📑 **知识管理** - **书签**：提供精选的安全工具列表、最新的 Microsoft 门户 URL 列表，以及创建特定于调查的自定义书签的功能。 - 📌**Markdown 编辑器**：提供一个用于创建和更新 Markdown 文档的界面——非常适合在调查期间做笔记或加载调查 playbook。 - **事件 ID 参考**：将 Windows 事件 ID 集中在一处，按持久化、横向移动等类别组织——便于在调查期间进行交叉参考。 - **MS Entra ID 参考**：提供已知和恶意 Microsoft Entra ID AppID 的可搜索列表——适用于调查商业电子邮件入侵 (BEC) 案件。 - **Living Off the Land Binaries**：提供威胁行为者滥用的已知 Microsoft Living-Off-the-Land (LOLBAS) 二进制文件的可搜索列表。 - **Microsoft Azure 门户**：提供不断变化的 Microsoft Azure / Entra URL 的可搜索列表，在响应 Azure 云事件时非常有用。 - **DLL 劫持**：基于 Hijacklibs 项目提供可搜索的 DLL 旁加载相关信息列表。 ## 🚀 安装 1. **克隆仓库** git clone https://github.com/WithSecureLabs/Kanvas.git cd Kanvas 2. **创建虚拟环境** # 在 Windows 上 python3 -m venv venv venv\Scripts\activate # 在 MacOs / Linux 上 python3 -m venv venv source venv/bin/activate 3. **安装依赖** pip3 install -r requirements.txt 4. **运行 KANVAS** python3 kanvas.py ## ⚠️注意事项 - `incident timeline` 逻辑仅在您已为每个条目在时间线工作表中映射了 MITRE TTP 时才有效。 - MITRE `Flow Builder` 使用 QT WebBrowser（基于 Chromium）。它有时可能会出现性能问题，尤其是在 Windows 上。 ## 致谢 - [公开披露的勒索软件受害者数据](https://www.ransomware.live/about)，作者 [Julien Mousqueton](https://www.linkedin.com/in/julienmousqueton/) - [Microsoft 第一方应用名称与 Graph 权限](https://github.com/merill/microsoft-info)，作者 [Merill Fernando ](https://www.linkedin.com/in/merill/) - [精编的 Microsoft 门户列表](https://msportals.io/about/)，作者 ([Adam Fowler](https://www.linkedin.com/in/adamfowlerit/)) - [公开披露的 DLL 劫持机会记录](https://msportals.io/about/)，作者 ([Wietze Beukema](https://www.linkedin.com/in/wjbbeukema/))

标签：Cloudflare, IR, MITRE ATT&CK, PB级数据处理, PE 加载器, Python, TTP映射, 协作工具, 多模态安全, 安全调查, 安全运维, 工单管理, 库, 应急响应, 攻击链可视化, 攻防可视化, 数字取证, 数据清洗, 无后门, 无线安全, 时间线, 桌面应用, 横向移动分析, 电子表格, 网络安全, 脱敏处理, 自动化脚本, 逆向工具, 隐私保护