Kairon DFIR

本地优先的 DFIR 调查平台，用于集中取证、减少干扰并重建事件。

Kairon DFIR 旨在辅助分析师，而非取而代之。它为取证证据提供了清晰的视角，使关键时刻能够更快、结合更多上下文地被解读。 本项目适用于受信任的实验室和受控的私有测试版部署。证据可能包含高度敏感的数据。在未配备身份验证、VPN 或受保护的反向代理的情况下，请勿将 Kairon DFIR 直接暴露于互联网。 ## 主要功能 - 将 Windows 取证证据接入以案件为中心的调查中。 - 将证据标准化，用于搜索、分流、时间线、检测、发现和报告。 - 提供针对搜索、证据视图、命令历史、执行轨迹、事件时间线、发现和报告的分析师工作流。 - 在常规调查中，将验证功能设为可选，且默认禁用。 ## 快速开始 环境要求： - Docker 及 Docker Compose 插件。 - 最低 4 个 CPU 核心；针对多主机证据建议 8 核及以上。 - 最低 16 GB RAM；针对完整的 MFT 和大型 OpenSearch 索引建议 32 GB。 - 需根据上传的证据以及提取/索引的数据配置持久化存储磁盘。 ``` git clone https://github.com/yokddj/kairon-dfir.git cd kairon-dfir cp .env.example .env docker compose up -d --build ``` 访问地址： - 前端：http://127.0.0.1:5173 - 后端健康检查：http://127.0.0.1:8000/health - API 文档：http://127.0.0.1:8000/docs 默认的测试版/调查模式是纯净的： ``` DFIR_ENABLE_DEMO_CASES=false DFIR_ENABLE_VALIDATION_FEATURES=false DFIR_DEFAULT_CASE_MODE=investigation ``` 仅在 QA、培训或受控的产品演示中使用验证标志。本代码仓库不包含证据归档、处理后的数据、OpenSearch 索引、Postgres 转储、公开挑战数据集或答案密钥。 ## 首次调查工作流 1. 创建案件 - 打开 Kairon DFIR。 - 进入 Cases。 - 点击 Create case。 - 为其指定名称和时区。 2. 添加证据 - 打开该案件。 - 进入 Evidence & Ingest。 - 上传支持的证据归档或集合。 - 等待原始数据发现。 3. 为调查索引证据 - 点击 Index evidence for investigation。 - 常规路径下请使用推荐的索引方式。 - 仅当您需要进行针对性解析时，才使用 Index selected artifact types only。 4. 开始分流 - 使用 Investigation Home。 - 查阅 Search。 - 查阅 Command History。 - 查阅 Artifact Views。 - 如果存在，检查 Startup & Persistence、MOTW/Downloaded Files 和 Email Artifacts。 5. 构建发现 - 将相关证据提升至 Findings。 - 在可见范围内谨慎使用关联。 - 将重要事件添加到 Incident Timeline。 6. 生成报告 - 在存在证据和发现后，使用 Reports。 - 导出 Markdown 以供审查。 Kairon DFIR 仅起辅助分析作用；最终解释仍由分析师负责。 ## 支持的证据与 Artifact 概览 覆盖范围取决于上传证据中包含的 artifact 以及部署环境中的解析器可用性。 | 领域 | 示例 | | --- | --- | | 事件日志 | EVTX, Sysmon, Security, PowerShell | | 文件系统 | MFT, MOTW/Zone.Identifier | | 执行情况 | Prefetch, Shimcache, Amcache, LNK, Jump Lists | | 用户活动 | RecentDocs, UserAssist, OpenSaveMRU | | 持久化 | Scheduled Tasks, Services, registry autoruns, startup folders | | 浏览器/邮件分流 | Browser history/downloads, mail stores, webmail traces | | 调查输出 | Findings, Incident Timeline, Reports | ## 安全警告 请勿将端口 `5173`、`8000`、`5601`、`9200`、`5432` 或 `6379` 直接暴露于互联网。请将部署置于 VPN、SSO/身份验证、防火墙规则或配置正确的反向代理之后。 请将以下内容视为敏感信息： - 上传的证据； - 提取的解析器输出； - OpenSearch 索引； - Postgres 数据； - 生成的报告； - 调试导出数据； - 备份； - `.env` 文件。 严禁提交真实的证据、密钥、日志、备份、数据库转储或生成的报告。 请勿提交私有的证据归档、处理后的案件数据、客户数据集、生成的报告、索引、数据库转储或本地环境文件。请将所有证据和生成的案件数据排除在版本控制之外。 ## 文档 - [文档索引](docs/index.md) - [用户指南](docs/user_guide.md) - [功能图谱](docs/feature_map.md) - [Artifact 支持矩阵](docs/artifacts_matrix.md) - [私有测试版部署](docs/deployment/beta-deployment.md) - [安全说明](docs/SECURITY.md) - [已知局限性](docs/KNOWN_LIMITATIONS.md) - [验证工作流](docs/validation/README.md) ## 已知局限性 - 本测试版不提供托管型 SaaS 的安全边界。 - OST/PST 内容解析不属于当前核心解析器集的一部分。 - SRUM 解析需要支持 Windows 的 worker 或后端替代方案。 - 某些高级 Windows artifact 可能需要额外的解析器 worker 或工具。 - 验证矩阵是可选的 QA 元数据；它不属于常规调查的一部分。 - Kairon DFIR 仅起辅助分析作用，最终解释仍由分析师负责。 ## 许可证 参见 [LICENSE](LICENSE)。

标签：Docker, PB级数据处理, Python, TypeScript, 安全插件, 安全运维, 安全防御评估, 库, 应急响应, 搜索引擎查询, 数字取证, 无后门, 测试用例, 自动化脚本, 请求拦截, 逆向工具