cmdaltr/rivendell
GitHub: cmdaltr/rivendell
整合远程取证采集、自动化分析、AI 驱动查询和 MITRE ATT&CK 映射的一站式数字取证与应急响应平台。
Stars: 3 | Forks: 1
# Rivendell DF 加速套件
**数字取证套件 v2.0.0**
_2. 处理和分析证据_
`elrond -C -c CASE-001 -s /evidence/CASE-001 -m /evidence/CASE-001/memory.dmp -o /cases/CASE-001`
_3. 其他可选功能_
映射到 MITRE ATT&CK
`python3 -m rivendell.mitre.mapper /cases/CASE-001` 索引以进行 AI 分析
`rivendell-ai index CASE-001 /cases/CASE-001` 自然语言查询
`rivendell-ai query CASE-001 "What PowerShell commands were executed?"` 生成报告
`rivendell-ai summary CASE-001 --format markdown --output report.md` ## 🌟 核心特性 ### 🔍 综合取证平台 - **远程取证** - 从远程 Windows、Linux 和 macOS 系统收集工件 - **自动化分析** - 使用 30 多种集成的取证工具处理证据 - **MITRE ATT&CK 集成** - 自动技术映射,包含全面的基于内容的检测和 ATT&CK Navigator 可视化 - **云取证** - 支持 AWS、Azure 和 GCP 调查 - **AI 驱动的分析** - 使用自然语言查询调查数据 - **内存取证** - 集成 Volatility 3 进行内存分析 - **时间线生成** - 使用 Plaso/log2timeline 生成全面的时间线 - **SIEM 集成** - 直接导出到 Splunk 和 Elasticsearch ### 🎯 核心组件 ``` ┌─────────────────────────────────────────────────────────┐ │ Rivendell Suite │ ├─────────────────────────────────────────────────────────┤ │ │ │ ┌──────────────┐ ┌──────────────┐ ┌───────────┐ │ │ │ Gandalf │ │ Elrond │ │ AI │ │ │ │ Acquisition │ → │ Analysis │ → │ Agent │ │ │ └──────────────┘ └──────────────┘ └───────────┘ │ │ ↓ ↓ ↓ │ │ ┌─────────────────────────────────────────────────┐ │ │ │ MITRE ATT&CK • Cloud • SIEM • Reports │ │ │ └─────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────┘ ``` ## 📋 功能概述 ### 🧙 Gandalf - 远程取证 从本地和远程系统收集取证工件。 **特性:** - 多平台支持 (Windows, Linux, macOS) - 通过 SSH 和 PowerShell 进行远程取证 - 内存转储收集 - 加密证据打包 - SHA256 哈希和审计追踪 - 全面的工件收集 **收集的工件:** - 系统信息 - 运行中的进程 - 网络连接 - 注册表配置单元 (Windows) - 事件日志 (Windows) - 系统日志 (Linux/macOS) - 浏览器工件 - 用户配置文件 - 计划任务 - 服务 - 内存转储 [完整文档 →](docs/gandalf-README.md) ### 🧝♂️ Elrond - 自动化分析 使用集成工具处理和分析取证证据。 **特性:** - 自动化工件解析 - 使用 Plaso 生成时间线 - 使用 Volatility 3 进行内存取证 - 注册表分析 - 事件日志解析 - IOC 检测 - 浏览器工件提取 - 多操作系统支持 (Windows, Linux, macOS) **集成的工具:** - Volatility 3(内存分析) - Plaso/log2timeline(时间线生成) - RegRipper(注册表解析) - EvtxCmd(事件日志解析) - Bulk Extractor(IOC 提取) - 25+ 个额外的取证实用工具 [完整文档 →](docs/elrond-README.md) ### 功能 1:MITRE ATT&CK 集成 通过全面的基于内容的检测,自动将取证结果映射到 MITRE ATT&CK 技术。 **特性:** - 从 MITRE ATT&CK 框架 (v18.1) 自动更新 - 基于内容的模式匹配,实现准确的技术检测 - 600 多种 ATT&CK 技术及其完整描述 - 支持多战术技术(技术映射到所有相关战术) - 生成 ATT&CK Navigator 层并自动可视化 - 为每项技术提供带有战术徽章的 Splunk 仪表板 - 全面的 JSON 记录扫描(扫描所有记录,而非采样) - 支持大于 10MB 文件的大型文件流式传输 **用法:** ``` # 更新 MITRE 数据 python3 -m rivendell.mitre.updater # 将 artifacts 映射到 techniques python3 -m rivendell.mitre.mapper /path/to/artifacts # 生成 Navigator layer python3 -m rivendell.mitre.dashboard -o /output/dashboard.html ``` **覆盖范围:** - 检测到 600 多种 ATT&CK 技术 - 覆盖所有 14 种战术 - 基于内容的模式匹配,确保检测准确 - 包含完整元数据的证据来源映射 [完整文档 →](docs/USER_GUIDE.md#feature-1-mitre-attack-integration) ### 功能 2:覆盖率分析 在调查期间进行实时的 MITRE ATT&CK 覆盖率分析。 **特性:** - 独立的覆盖率分析器 - 在处理工件时进行实时检测 - 与 Elrond 分析集成 - SIEM 导出 (Splunk, Elasticsearch) - 可视化的覆盖率仪表板 **用法:** ``` # 分析覆盖率 python3 -m rivendell.coverage.analyzer /cases/CASE-001 # 实时监控 python3 -m rivendell.coverage.monitor --watch /cases # 生成 dashboard python3 -m rivendell.coverage.dashboard -o dashboard.html ``` [完整文档 →](docs/USER_GUIDE.md#feature-2-coverage-analysis) ### 功能 3:增强的工件解析 扩展了对 Windows、macOS 和 Linux 工件的支持。 **特性:** - **Windows**: WMI 持久化检测、计划任务、服务 - **macOS**: plists、launch agents/daemons、统一日志、FSEvents - **Linux**: systemd 服务、cron 任务、bash 历史、认证日志 **用法:** ``` # 解析 Windows WMI python3 -m rivendell.artifacts.windows.wmi /path/to/system # 解析 macOS artifacts python3 -m rivendell.artifacts.macos.launch_agents /path/to/system # 解析 Linux artifacts python3 -m rivendell.artifacts.linux.systemd /path/to/system ``` [完整文档 →](docs/ARTIFACTS.md) ### 功能 4:云取证 跨 AWS、Azure 和 GCP 调查云基础设施。 **特性:** - **AWS**: EC2 快照、CloudTrail 分析、S3 取证 - **Azure**: VM 磁盘快照、Activity Log 分析 - **GCP**: Compute Engine 快照、Cloud Logging 分析 - 跨所有提供商的统一 CLI - 针对云技术的 MITRE ATT&CK 映射 **用法:** ``` # 列出 AWS instances python3 -m rivendell.cloud.cli aws list --credentials aws_creds.json # 获取 Azure VM disk python3 -m rivendell.cloud.cli azure acquire-disk \ --instance-id myvm \ --resource-group mygroup \ --output ./output # 分析 CloudTrail logs python3 -m rivendell.cloud.cli aws analyze-logs \ --log-file cloudtrail.json \ --output ./analysis ``` **检测到的技术:** - T1078.004 - 云账户 - T1530 - 来自云存储的数据 - T1580 - 云基础设施发现 - T1619 - 云存储对象发现 - 以及 13+ 种其他特定的云技术 [完整文档 →](docs/CLOUD.md) ### 功能 5:AI 驱动的分析代理 使用本地 AI 通过自然语言查询调查数据。 **特性:** - 对取证数据进行自然语言查询 - 调查路径建议 - 自动化案件摘要 - Web 聊天界面(端口 5687) - 注重隐私的本地 LLM (Ollama/LlamaCpp) - 多工件搜索(时间线、IOC、进程、网络、注册表) **用法:** ``` # 索引 case 数据 rivendell-ai index CASE-001 /cases/CASE-001 # 查询该 case rivendell-ai query CASE-001 "What PowerShell commands were executed?" # 获取调查建议 rivendell-ai suggest CASE-001 # 生成 case 摘要 rivendell-ai summary CASE-001 --format markdown --output summary.md # 启动 web 界面 python3 -m rivendell.ai.web_interface # 访问 http://localhost:5687/ai/chat/CASE-001 ``` **查询示例:** - "执行了哪些 PowerShell 命令?" - "显示与外部 IP 的网络连接" - "检测到了哪些 MITRE ATT&CK 技术?" - "总结攻击时间线" - "发现了哪些持久化机制?" [完整文档 →](docs/AI_AGENT.md) ## 🛠️ 安装要求 **核心要求:** - Python 3.8+ - Volatility 3 - Plaso/log2timeline - 30+ 个取证实用工具 **可选:** - Ollama(用于 AI 代理) - Docker(用于容器化部署) - Splunk/Elasticsearch(用于 SIEM 集成) **完整的安装指南,请参见:** [REQUIREMENTS.md](REQUIREMENTS.md) ## 📚 文档 ### 入门指南 - **[快速开始](QUICKSTART.md)** - 5 分钟内快速上手 - **[使用指南](USAGE.md)** - 所有功能的完整命令参考 - **[工作流](WORKFLOWS.md)** - 常见的调查工作流 - **[环境要求](REQUIREMENTS.md)** - 安装要求和依赖项 ### 用户文档 - **[用户指南](docs/USER_GUIDE.md)** - 综合用户指南 - **[配置](docs/CONFIG.md)** - 配置选项 - **[支持](docs/SUPPORT.md)** - 故障排除和帮助 ### 组件文档 - **[工件](docs/ARTIFACTS.md)** - 支持的工件类型和解析 - **[云取证](docs/CLOUD.md)** - AWS、Azure 和 GCP 调查 - **[AI 代理](docs/AI_AGENT.md)** - 自然语言分析 - **[SIEM 集成](docs/SIEM.md)** - Splunk 和 Elasticsearch ### 技术文档 - **[工具](docs/TOOLS.md)** - 集成的取证工具 - **[更新指南](docs/UPDATE_GUIDE.md)** - 更新流程 - **[贡献指南](docs/CONTRIBUTION.md)** - 贡献守则 ## 💡 示例工作流 ### 快速示例 **事件响应:** ``` # 快速 triage → 分析 → MITRE 映射 → AI 查询 → SIEM 导出 python3 acquisition/python/gandalf.py Password 192.168.1.100 -u admin -o /evidence elrond -C -c IR-2024-001 -s /evidence -o /cases/IR-2024-001 python3 -m rivendell.mitre.mapper /cases/IR-2024-001 rivendell-ai query IR-2024-001 "What lateral movement occurred?" ``` **恶意软件分析:** ``` # 获取 → Memory 分析 → IOC 提取 → 报告 python3 acquisition/python/gandalf.py Password 192.168.1.50 -M -o /evidence elrond -C -c MAL-001 -s /evidence -m /evidence/memory.dmp -o /output rivendell-ai query MAL-001 "What IOCs were detected?" rivendell-ai summary MAL-001 --format markdown --output report.md ``` **云调查:** ``` # 获取 logs → 分析 → 查询 python3 -m rivendell.cloud.cli aws acquire-logs --days 30 --output ./logs python3 -m rivendell.cloud.cli aws analyze-logs --log-file ./logs/cloudtrail.json rivendell-ai query CLOUD-001 "What suspicious AWS API calls were made?" ``` **完整的工作流,请参见:** [WORKFLOWS.md](WORKFLOWS.md) ## 🤝 贡献 我们欢迎您的贡献!请查阅 [CONTRIBUTION.md](docs/CONTRIBUTION.md) 了解指南。 **参与贡献的方式:** - 报告 Bug 和功能需求 - 改进文档 - 增加对新工件的支持 - 开发集成功能 - 分享用例和工作流 ## 📄 许可证 本项目基于 MIT 许可证授权 - 详情请参阅 [LICENSE](LICENSE) 文件。 ## 🙏 致谢 Rivendell 集成了许多优秀的开源取证工具: - **Volatility 3** - 内存取证框架 - **Plaso/log2timeline** - 时间线生成 - **RegRipper** - 注册表分析 - **Bulk Extractor** - IOC 提取 - **MITRE ATT&CK** - 对手战术和技术 - **Ollama** - 本地 LLM 推理 - **LangChain** - AI 编排 以及 25+ 个其他工具。完整列表请参见 [TOOLS.md](docs/TOOLS.md)。 ## 📚 文档 ### 入门指南 - **[安装指南](INSTALL.md)** - 从 git clone 到首次测试的完整设置 - **[快速开始](tests/QUICK_START.md)** - 运行测试的快速通道 - **[测试运行器指南](tests/docs/TEST_RUNNER_GUIDE.md)** - 全面的测试文档 ### 参考 - **[Docker 安装](scripts/DOCKER_INSTALL.md)** - Docker Desktop 和 OrbStack 设置 - **[Gandalf 文档](docs/gandalf-README.md)** - 远程取证指南 - **[Elrond 文档](docs/elrond-README.md)** - 分析引擎指南 - **[工具参考](docs/TOOLS.md)** - 所有集成的取证工具 - **[支持指南](docs/SUPPORT.md)** - 故障排除和帮助 ## 📞 支持 **文档**: 参见 [docs/](docs/) - **问题**: [GitHub Issues](https://github.com/cmdaltr/rivendell/issues) - **讨论**: [GitHub Discussions](https://github.com/cmdaltr/rivendell/discussions) ## 🗺️ 路线图 **v2.2(计划中):** - 移动设备取证 (iOS, Android) - 网络取证集成 - 自动化报告增强 - 额外的 SIEM 集成 **v2.3(未来):** - 协作调查功能 - 基于高级 ML 的异常检测 - 容器取证 (Docker, Kubernetes) - 威胁情报集成 ## 📊 项目统计 - **代码行数**: 50,000+ - **集成工具**: 30+ - **支持平台**: Windows, Linux, macOS - **云提供商**: AWS, Azure, GCP - **MITRE ATT&CK 技术**: 600+ - **工件类型**: 50+ ❤️ 为 DFIR 社区而构建** [⬆ 返回顶部](#rivendell-dfir-suite)
**数字取证套件 v2.0.0**
The Last Homely House
[](LICENSE) [](https://www.python.org/downloads/) []()
## 🚀 快速开始
### 安装
```
# Clone 仓库
git clone https://github.com/cmdaltr/rivendell.git
cd rivendell
# 安装 OrbStack (macOS - 推荐) 或 Docker Desktop
# OrbStack: 速度快 2-3 倍,RAM 占用更少,没有 networking 错误
brew install --cask orbstack
# 对于其他平台,请使用安装程序:
# python3 scripts/install-rivendell.py
# 配置 forensic image 路径
python3 scripts/image-paths.py
# 在 testing mode 下启动 Rivendell
./scripts/start-testing-mode.sh
# 运行你的第一个测试
cd tests
./scripts/run_single_test.sh win_brisk
```
**📖 [完整安装指南 →](INSTALL.md)** - 详细的设置说明
**💡 为什么选择 OrbStack?** 在 macOS 上,OrbStack 比 Docker Desktop 快 2-3 倍,仅使用约 4GB RAM 而不是 8-12GB,并且没有会导致大型取证镜像崩溃的 gVisor 网络错误。它供个人免费使用。
### 访问 Rivendell
- **Web 界面:** http://localhost:5687
- **后端 API:** http://localhost:5688
### 快速命令
```
# 管理 forensic image 路径
python3 scripts/image-paths.py
# 检查 job 状态
./scripts/status.sh
# 停止所有 jobs
./scripts/stop-jobs.sh
# 查看 logs
docker-compose logs -f backend
```
### 系统要求
| 组件 | 最低配置 | 推荐配置 |
|-----------|---------|-------------|
| **RAM** | 10GB | 16GB+ |
| **CPU** | 4 核心 | 8+ 核心 |
| **磁盘** | 10GB | 50GB+ |
| **OS** | macOS 12+, Ubuntu 20.04+, Windows 10+ | 最新版本 |
**支持的平台:**
- macOS (Apple Silicon & Intel)
- Linux (Ubuntu, Debian, Fedora, RHEL, CentOS)
- Windows (推荐使用 WSL2)
### 基本用法
**Web 调查工作流:**
1. 通过 http://localhost:5687 访问 Web 界面
2. 创建新的调查案件
3. 上传证据或配置远程取证
4. 监控处理进度
5. 查看结果、时间线和 ATT&CK 映射
6. 导出报告和 SIEM 数据
**CLI 调查工作流:**
_1. 从远程系统获取证据_
[](LICENSE) [](https://www.python.org/downloads/) []()
|
|
python3 src/acquisition/python/gandalf.py Password 192.168.1.100 -u administrator -M -o /evidence/CASE-001
|
|
|
sudo ./scripts/install_macos.sh
|
|
|
.\scripts\install_windows_wsl.ps1
|
`python3 -m rivendell.mitre.mapper /cases/CASE-001` 索引以进行 AI 分析
`rivendell-ai index CASE-001 /cases/CASE-001` 自然语言查询
`rivendell-ai query CASE-001 "What PowerShell commands were executed?"` 生成报告
`rivendell-ai summary CASE-001 --format markdown --output report.md` ## 🌟 核心特性 ### 🔍 综合取证平台 - **远程取证** - 从远程 Windows、Linux 和 macOS 系统收集工件 - **自动化分析** - 使用 30 多种集成的取证工具处理证据 - **MITRE ATT&CK 集成** - 自动技术映射,包含全面的基于内容的检测和 ATT&CK Navigator 可视化 - **云取证** - 支持 AWS、Azure 和 GCP 调查 - **AI 驱动的分析** - 使用自然语言查询调查数据 - **内存取证** - 集成 Volatility 3 进行内存分析 - **时间线生成** - 使用 Plaso/log2timeline 生成全面的时间线 - **SIEM 集成** - 直接导出到 Splunk 和 Elasticsearch ### 🎯 核心组件 ``` ┌─────────────────────────────────────────────────────────┐ │ Rivendell Suite │ ├─────────────────────────────────────────────────────────┤ │ │ │ ┌──────────────┐ ┌──────────────┐ ┌───────────┐ │ │ │ Gandalf │ │ Elrond │ │ AI │ │ │ │ Acquisition │ → │ Analysis │ → │ Agent │ │ │ └──────────────┘ └──────────────┘ └───────────┘ │ │ ↓ ↓ ↓ │ │ ┌─────────────────────────────────────────────────┐ │ │ │ MITRE ATT&CK • Cloud • SIEM • Reports │ │ │ └─────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────┘ ``` ## 📋 功能概述 ### 🧙 Gandalf - 远程取证 从本地和远程系统收集取证工件。 **特性:** - 多平台支持 (Windows, Linux, macOS) - 通过 SSH 和 PowerShell 进行远程取证 - 内存转储收集 - 加密证据打包 - SHA256 哈希和审计追踪 - 全面的工件收集 **收集的工件:** - 系统信息 - 运行中的进程 - 网络连接 - 注册表配置单元 (Windows) - 事件日志 (Windows) - 系统日志 (Linux/macOS) - 浏览器工件 - 用户配置文件 - 计划任务 - 服务 - 内存转储 [完整文档 →](docs/gandalf-README.md) ### 🧝♂️ Elrond - 自动化分析 使用集成工具处理和分析取证证据。 **特性:** - 自动化工件解析 - 使用 Plaso 生成时间线 - 使用 Volatility 3 进行内存取证 - 注册表分析 - 事件日志解析 - IOC 检测 - 浏览器工件提取 - 多操作系统支持 (Windows, Linux, macOS) **集成的工具:** - Volatility 3(内存分析) - Plaso/log2timeline(时间线生成) - RegRipper(注册表解析) - EvtxCmd(事件日志解析) - Bulk Extractor(IOC 提取) - 25+ 个额外的取证实用工具 [完整文档 →](docs/elrond-README.md) ### 功能 1:MITRE ATT&CK 集成 通过全面的基于内容的检测,自动将取证结果映射到 MITRE ATT&CK 技术。 **特性:** - 从 MITRE ATT&CK 框架 (v18.1) 自动更新 - 基于内容的模式匹配,实现准确的技术检测 - 600 多种 ATT&CK 技术及其完整描述 - 支持多战术技术(技术映射到所有相关战术) - 生成 ATT&CK Navigator 层并自动可视化 - 为每项技术提供带有战术徽章的 Splunk 仪表板 - 全面的 JSON 记录扫描(扫描所有记录,而非采样) - 支持大于 10MB 文件的大型文件流式传输 **用法:** ``` # 更新 MITRE 数据 python3 -m rivendell.mitre.updater # 将 artifacts 映射到 techniques python3 -m rivendell.mitre.mapper /path/to/artifacts # 生成 Navigator layer python3 -m rivendell.mitre.dashboard -o /output/dashboard.html ``` **覆盖范围:** - 检测到 600 多种 ATT&CK 技术 - 覆盖所有 14 种战术 - 基于内容的模式匹配,确保检测准确 - 包含完整元数据的证据来源映射 [完整文档 →](docs/USER_GUIDE.md#feature-1-mitre-attack-integration) ### 功能 2:覆盖率分析 在调查期间进行实时的 MITRE ATT&CK 覆盖率分析。 **特性:** - 独立的覆盖率分析器 - 在处理工件时进行实时检测 - 与 Elrond 分析集成 - SIEM 导出 (Splunk, Elasticsearch) - 可视化的覆盖率仪表板 **用法:** ``` # 分析覆盖率 python3 -m rivendell.coverage.analyzer /cases/CASE-001 # 实时监控 python3 -m rivendell.coverage.monitor --watch /cases # 生成 dashboard python3 -m rivendell.coverage.dashboard -o dashboard.html ``` [完整文档 →](docs/USER_GUIDE.md#feature-2-coverage-analysis) ### 功能 3:增强的工件解析 扩展了对 Windows、macOS 和 Linux 工件的支持。 **特性:** - **Windows**: WMI 持久化检测、计划任务、服务 - **macOS**: plists、launch agents/daemons、统一日志、FSEvents - **Linux**: systemd 服务、cron 任务、bash 历史、认证日志 **用法:** ``` # 解析 Windows WMI python3 -m rivendell.artifacts.windows.wmi /path/to/system # 解析 macOS artifacts python3 -m rivendell.artifacts.macos.launch_agents /path/to/system # 解析 Linux artifacts python3 -m rivendell.artifacts.linux.systemd /path/to/system ``` [完整文档 →](docs/ARTIFACTS.md) ### 功能 4:云取证 跨 AWS、Azure 和 GCP 调查云基础设施。 **特性:** - **AWS**: EC2 快照、CloudTrail 分析、S3 取证 - **Azure**: VM 磁盘快照、Activity Log 分析 - **GCP**: Compute Engine 快照、Cloud Logging 分析 - 跨所有提供商的统一 CLI - 针对云技术的 MITRE ATT&CK 映射 **用法:** ``` # 列出 AWS instances python3 -m rivendell.cloud.cli aws list --credentials aws_creds.json # 获取 Azure VM disk python3 -m rivendell.cloud.cli azure acquire-disk \ --instance-id myvm \ --resource-group mygroup \ --output ./output # 分析 CloudTrail logs python3 -m rivendell.cloud.cli aws analyze-logs \ --log-file cloudtrail.json \ --output ./analysis ``` **检测到的技术:** - T1078.004 - 云账户 - T1530 - 来自云存储的数据 - T1580 - 云基础设施发现 - T1619 - 云存储对象发现 - 以及 13+ 种其他特定的云技术 [完整文档 →](docs/CLOUD.md) ### 功能 5:AI 驱动的分析代理 使用本地 AI 通过自然语言查询调查数据。 **特性:** - 对取证数据进行自然语言查询 - 调查路径建议 - 自动化案件摘要 - Web 聊天界面(端口 5687) - 注重隐私的本地 LLM (Ollama/LlamaCpp) - 多工件搜索(时间线、IOC、进程、网络、注册表) **用法:** ``` # 索引 case 数据 rivendell-ai index CASE-001 /cases/CASE-001 # 查询该 case rivendell-ai query CASE-001 "What PowerShell commands were executed?" # 获取调查建议 rivendell-ai suggest CASE-001 # 生成 case 摘要 rivendell-ai summary CASE-001 --format markdown --output summary.md # 启动 web 界面 python3 -m rivendell.ai.web_interface # 访问 http://localhost:5687/ai/chat/CASE-001 ``` **查询示例:** - "执行了哪些 PowerShell 命令?" - "显示与外部 IP 的网络连接" - "检测到了哪些 MITRE ATT&CK 技术?" - "总结攻击时间线" - "发现了哪些持久化机制?" [完整文档 →](docs/AI_AGENT.md) ## 🛠️ 安装要求 **核心要求:** - Python 3.8+ - Volatility 3 - Plaso/log2timeline - 30+ 个取证实用工具 **可选:** - Ollama(用于 AI 代理) - Docker(用于容器化部署) - Splunk/Elasticsearch(用于 SIEM 集成) **完整的安装指南,请参见:** [REQUIREMENTS.md](REQUIREMENTS.md) ## 📚 文档 ### 入门指南 - **[快速开始](QUICKSTART.md)** - 5 分钟内快速上手 - **[使用指南](USAGE.md)** - 所有功能的完整命令参考 - **[工作流](WORKFLOWS.md)** - 常见的调查工作流 - **[环境要求](REQUIREMENTS.md)** - 安装要求和依赖项 ### 用户文档 - **[用户指南](docs/USER_GUIDE.md)** - 综合用户指南 - **[配置](docs/CONFIG.md)** - 配置选项 - **[支持](docs/SUPPORT.md)** - 故障排除和帮助 ### 组件文档 - **[工件](docs/ARTIFACTS.md)** - 支持的工件类型和解析 - **[云取证](docs/CLOUD.md)** - AWS、Azure 和 GCP 调查 - **[AI 代理](docs/AI_AGENT.md)** - 自然语言分析 - **[SIEM 集成](docs/SIEM.md)** - Splunk 和 Elasticsearch ### 技术文档 - **[工具](docs/TOOLS.md)** - 集成的取证工具 - **[更新指南](docs/UPDATE_GUIDE.md)** - 更新流程 - **[贡献指南](docs/CONTRIBUTION.md)** - 贡献守则 ## 💡 示例工作流 ### 快速示例 **事件响应:** ``` # 快速 triage → 分析 → MITRE 映射 → AI 查询 → SIEM 导出 python3 acquisition/python/gandalf.py Password 192.168.1.100 -u admin -o /evidence elrond -C -c IR-2024-001 -s /evidence -o /cases/IR-2024-001 python3 -m rivendell.mitre.mapper /cases/IR-2024-001 rivendell-ai query IR-2024-001 "What lateral movement occurred?" ``` **恶意软件分析:** ``` # 获取 → Memory 分析 → IOC 提取 → 报告 python3 acquisition/python/gandalf.py Password 192.168.1.50 -M -o /evidence elrond -C -c MAL-001 -s /evidence -m /evidence/memory.dmp -o /output rivendell-ai query MAL-001 "What IOCs were detected?" rivendell-ai summary MAL-001 --format markdown --output report.md ``` **云调查:** ``` # 获取 logs → 分析 → 查询 python3 -m rivendell.cloud.cli aws acquire-logs --days 30 --output ./logs python3 -m rivendell.cloud.cli aws analyze-logs --log-file ./logs/cloudtrail.json rivendell-ai query CLOUD-001 "What suspicious AWS API calls were made?" ``` **完整的工作流,请参见:** [WORKFLOWS.md](WORKFLOWS.md) ## 🤝 贡献 我们欢迎您的贡献!请查阅 [CONTRIBUTION.md](docs/CONTRIBUTION.md) 了解指南。 **参与贡献的方式:** - 报告 Bug 和功能需求 - 改进文档 - 增加对新工件的支持 - 开发集成功能 - 分享用例和工作流 ## 📄 许可证 本项目基于 MIT 许可证授权 - 详情请参阅 [LICENSE](LICENSE) 文件。 ## 🙏 致谢 Rivendell 集成了许多优秀的开源取证工具: - **Volatility 3** - 内存取证框架 - **Plaso/log2timeline** - 时间线生成 - **RegRipper** - 注册表分析 - **Bulk Extractor** - IOC 提取 - **MITRE ATT&CK** - 对手战术和技术 - **Ollama** - 本地 LLM 推理 - **LangChain** - AI 编排 以及 25+ 个其他工具。完整列表请参见 [TOOLS.md](docs/TOOLS.md)。 ## 📚 文档 ### 入门指南 - **[安装指南](INSTALL.md)** - 从 git clone 到首次测试的完整设置 - **[快速开始](tests/QUICK_START.md)** - 运行测试的快速通道 - **[测试运行器指南](tests/docs/TEST_RUNNER_GUIDE.md)** - 全面的测试文档 ### 参考 - **[Docker 安装](scripts/DOCKER_INSTALL.md)** - Docker Desktop 和 OrbStack 设置 - **[Gandalf 文档](docs/gandalf-README.md)** - 远程取证指南 - **[Elrond 文档](docs/elrond-README.md)** - 分析引擎指南 - **[工具参考](docs/TOOLS.md)** - 所有集成的取证工具 - **[支持指南](docs/SUPPORT.md)** - 故障排除和帮助 ## 📞 支持 **文档**: 参见 [docs/](docs/) - **问题**: [GitHub Issues](https://github.com/cmdaltr/rivendell/issues) - **讨论**: [GitHub Discussions](https://github.com/cmdaltr/rivendell/discussions) ## 🗺️ 路线图 **v2.2(计划中):** - 移动设备取证 (iOS, Android) - 网络取证集成 - 自动化报告增强 - 额外的 SIEM 集成 **v2.3(未来):** - 协作调查功能 - 基于高级 ML 的异常检测 - 容器取证 (Docker, Kubernetes) - 威胁情报集成 ## 📊 项目统计 - **代码行数**: 50,000+ - **集成工具**: 30+ - **支持平台**: Windows, Linux, macOS - **云提供商**: AWS, Azure, GCP - **MITRE ATT&CK 技术**: 600+ - **工件类型**: 50+ ❤️ 为 DFIR 社区而构建** [⬆ 返回顶部](#rivendell-dfir-suite)
标签:AI辅助分析, AI风险缓解, DFIR平台, Docker, Python, 云取证, 安全防御评估, 库, 应急响应, 数字取证, 无后门, 版权保护, 自动化脚本, 请求拦截, 远程取证, 逆向工具