关于iris-web

iris-web是一款专业的网络安全事件应急响应协同平台，该工具允许广大安全研究人员执行网络安全事件响应调查，并在技术层面上共享调查结果。

iris-web是一个网络应用程序，因此既可以安装在固定服务器上，也可以安装在笔记本电脑上，以便在无法使用互联网的地方进行漫游调查。

功能介绍

1、与尽可能多的分析师一起进行调查。每个人都有自己的帐户；

2、根据需要同时运行任意数量的调查；

3、搜索所有调查中的笔记和 IOC；

4、创建资产（计算机、服务器、账户、防火墙或任何你想要的东西）；

5、了解调查中遇到的资产和 IOC；

6、创建适当的时间线，引用资产和 IOC；

7、根据时间线创建攻击的自动图表；

8、通过模块化管道上传和处理证据（例如：EVTX 解析并注入数据库或数据可视化器）；

9、记录调查的每个步骤；

10、根据模板生成报告，自动填充调查中注册的元素；

11、生成活动报告，其中包含每个步骤的记录以及每个分析师的自动注册条目；

工具组成

它分为两个主要部分：IrisWeb 和 IrisModules。

1、IrisWeb 是一个包含 Iris 核心（Web 界面、数据库管理等）的 Web 应用程序。

2、IrisModules 是核心的扩展，允许第三方通过 Iris 处理数据（例如，使用 MISP 和 VT 丰富 IOC，将 EVTX 上传并注入 Splunk）。

工具架构

工具安装

为了简化安装和升级，Iris 以 Docker 容器的形式提供。借助 Docker Compose，它可以在几分钟内准备就绪。

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/dfir-iris/iris-web.git

cd iris-web

检测最新标记版本：

git checkout v2.4.14

拷贝环境文件：

cp .env.model .env

拉取Docker镜像：

docker compose pull

运行IRIS：

docker compose up

工具运行演示

许可证协议

本项目的开发与发布遵循LGPL-3.0开源许可协议。

项目地址

iris-web：【GitHub传送门】

参考资料

https://docs.dfir-iris.org/