bret99/kaspersky_scripts

# 卡巴斯基安全中心事件响应脚本套件（KSC-IRKit） [](https://opensource.org/licenses/MIT) [](https://github.com/username/ksc-irkit) 一套针对卡巴斯基安全中心（KSC）自动部署优化的企业级事件响应（IR）和取证收集脚本。此工具包使安全运营团队能够快速收集异构环境中的地理位置数据、文件系统状态和持久机制。 ## 🚀 价值主张与功能 当发生安全事件时，分类数据收集的速度和一致性至关重要。`KSC-IRKit`弥合了中央端点管理和取证分析之间的差距： * **统一KSC交付：**为Windows主机设计完全结构化的包装器（`.bat`），为Unix/macOS设计（`.sh`），旨在绕过执行策略并符合KSC任务执行参数。 * **端点加固与数据保护：**通过集中执行自动执行企业合规策略，包括远程BitLocker驱动器加密激活和通过集中执行的安全恢复密钥管理。 * **地理位置智能：**使用IP到地理位置API（`gug*`模块）即时映射受损害的资产。 * **取证审计：**深入文件系统索引和元数据解析到结构化JSON报告（`guf*`模块）。 * **持久机制提取：**对Windows任务计划程序、Autoruns（`gusa*`模块）进行全面的自动化审计。 * **自动数据外泄：**通过预配置的SMTP协议直接安全地将数据外泄到SOC邮箱。 ## 📋 先决条件 在通过KSC部署任务之前，请确保以下配置已建立： 1. **API密钥：**网络分类模块需要有效的`ip2geolocation` API密钥。 2. **SMTP凭证：**用于您内部或安全外泄电子邮件服务器的有效凭证： * `EMAIL_FROM/发件人`：发件人地址。 * `EMAIL_FROM_PASS/密码明文`：发件人授权密钥/密码。 * `EMAIL_TO/收件人`：目标SOC / 安全分析师邮箱。 * `FileExtension`：要获取的文件扩展名。 * `SourceDir`：要获取文件扩展名的目录。 ## 🛠️ 模块命名规范 工具包使用严格、可预测的命名约定： * `gug*` / `gbh*` — 地理位置和网络分类工具 * `guf*` — 文件系统状态观察器（JSON输出） * `gufe*` — 文件获取器（归档输出） * `gusa*` — 持久性和自动启动分析师 * `bitlocker_activate*` - 端点加固与数据保护 | 平台 | 模块前缀 | 脚本扩展名 | 启动包装器 | 目标操作系统 | | :--- | :--- | :--- | :--- | :--- | | **Windows** | `gugw` / `gufw` / `gusaw` /`gufew` / `bitlocker_activate`| `.ps1` | `.bat` | Windows客户端/服务器 | | **Linux** | `gugl` / `gbhl` | `.sh` | `.sh` | Ubuntu, RHEL, CentOS等。 | | **macOS** | `gbhm` / `gbhm`| `.sh` | `.sh` | macOS | ## 🚀 快速入门与KSC部署指南 ### 通过KSC在Windows上部署 为确保PowerShell执行策略不会阻止远程执行，始终利用提供的批处理包装器。 1. 打开**卡巴斯基安全中心控制台**。 2. 导航到**任务** -> **创建任务** -> **高级** -> **运行脚本/可执行文件**。 3. 当提示上传脚本时，选择**导入整个目录**。 4. **CRITICAL：**选择仅包含所需`.bat`和`.ps1`文件的特定隔离子目录，以防止不必要的有效负载分发。 5. 将可执行行设置为指向相应的`.bat`文件： .\*.bat ### 通过KSC在Unix / macOS上部署 1. 创建一个针对Unix托管主机的**运行脚本**任务。 2. 确保在手动部署时设置执行位，或允许KSC直接调用shell解释器： chmod +x ./*.sh ./*.sh ## ⚙️ 配置与自定义 在将脚本打包到生产之前，请修改核心脚本或环境定义中的配置块，以使用您的公司令牌： ``` # 配置块示例在脚本中 export API="your_secure_api_key_here" export EMAIL_FROM="soc-alerts@enterprise.com" export EMAIL_FROM_PASS="ComplexSecurePassword123!" export EMAIL_TO="ir-triage@enterprise.com" ``` ### 加密钱包 | 资产 | 网络 | 地址 | | :--- | :--- | :--- | | **BTC** | 比特币 | `bc1qjwl80sv06xj2yhumn6k6xemchryem923wwts5x` | | **USDT / ETH** | 以太坊（ERC20） | `0xc01b996c7b08ccfad463f27e54f1e74e6ac6f9ff` | | **USDT / SOL** | Solana | `D7a5CdLaDwkKehnH82y6VJEF3hADWuupuhWCXecHvEnt` | | **TON** | TON网络 | `UQBhPLwdFiJdh6sZ96sZfxrxD9Lu6NFtaUecWeoHSM-EPc0P` | | **LTC** | 莱特币 | `ltc1qkm58ks5kuc64rjwd74sfalc5xsn7h6sr4vt45w` | | **SOL** | Solana | `D7a5CdLaDwkKehnH82y6VJEF3hADWuupuhWCXecHvEnt` | 📜 许可证 本项目采用MIT许可证 - 请参阅LICENSE文件以获取详细信息。

标签：AI合规, API集成, Atomic Red Team, CIDR输入, Kaspersky Security Center, Libemu, SMTP传输, 事件响应脚本, 可观测性, 地理定位, 安全响应, 库, 应急响应, 应用安全, 持久化机制, 数据泄露检测, 文件系统审计, 特权提升, 自动化部署, 逆向工具