SIREN

功能特性

SIREN 的主要功能特性列表

信息收集

自动化采集受害主机上的关键安全信息,支持按模块独立开关。

基础系统信息

主机名、操作系统、CPU、内存、磁盘等

用户

用户列表、登录历史、sudoers、新增用户记录等

SSH

SSH 配置、authorized_keys、暴力破解与后门检测等

进程

进程列表、CPU/内存 Top 20、反弹 shell 与挖矿检测

网络

网络连接、监听端口、DNS 配置、路由表等

计划任务

crontab、cron 日志、Windows 计划任务与启动项等

服务与启动项

systemd 服务、init 脚本、Windows 服务等

环境变量

系统环境变量、LD_PRELOAD 等敏感变量检查

文件

近期修改文件、大文件、SUID 文件、文件完整性等

Rootkit

内核模块检查、可疑符号与 .ko 模块检测

Webshell

Web 目录扫描,基于关键字和正则匹配的 Webshell 检测

应用

Redis/JDWP/恶意软件包检测、容器、IIS 等

报告与取证文件

SIREN 将本地报告、服务端 Artifacts 和 Dossier 报告编辑分成不同入口,用于查看采集结果、取证文件和应急报告。

本地 Recon 报告

本地模式生成结构化 Markdown 文件,可直接阅读,也可按客户端配置上传 OSS

服务端 Artifacts

集中查看远程 Recon 与 AIR 产出的结果文档,以及上传/拉取到服务端的取证文件

Dossier 报告编辑

面向 Markdown 应急报告编辑和附件保存,可直接打开默认报告或从 Artifacts 打开报告

文件与进程管理

对客户端文件系统、服务端 Artifacts 和进程信息进行查看、传输和分析。

客户端文件管理

在线浏览客户端文件系统,支持预览、下载、目录打包和单文件上传

服务端 Artifacts 管理

管理服务端工作目录中的报告、取证文件和上传文件,支持预览、下载、上传、重命名和删除

本地文件上传

本地文件可上传至 OSS,远程 CLI 上传会拉取客户端文件并保存到服务端 Artifacts

进程分析

基于 PID/端口/名称查询进程详情、进程树、容器和服务信息

配置文件支持

通过 YAML 配置文件灵活控制 SIREN 的行为。

信息收集项开关

按模块独立控制信息收集项,按需启用或禁用

OSS 配置

本地模式的 recon/upload 可配置 OSS Bucket(敏感凭证通过环境变量设置)

自定义检测规则

通过正则表达式定义白名单和黑名单规则,降低噪音

通信设置

配置客户端-服务端的连接地址、端口和 TLS 证书

WebUI 与 MCP 端口

统一配置 WebUI 与 MCP 共享的监听地址和端口

Agentic 应急响应设置

配置 Claude / Codex Provider、模型和 prompt 模板

远程模式专属功能

远程模式在本地模式的基础上,提供以下专属功能。

自动化客户端部署

通过云助手单机或批量部署 SIREN 客户端到受害主机

自动重连与备注恢复

客户端保存稳定身份,服务端重启后自动重连并恢复已设置备注

远程 Shell

全交互式远程 Shell,支持 vim、top 等交互式命令

AccessKey 调查

通过 CLI 或 WebUI 调查云上 AccessKey 调用历史,生成 Markdown 报告

Agentic 应急响应

使用 Claude 或 Codex 自动化执行应急响应,生成完整报告

TLS 加密通信

所有客户端-服务端通信均通过 TLS 加密保护

端口转发

将受害主机内网服务转发到控制主机进行访问

MCP 集成

通过 MCP 协议接入任意 AI 助手

痕迹清除

远程清除受害主机上的 SIREN 痕迹

Web 控制台

浏览器图形化入口,用于处理常用远程工作流;无需直接登录控制主机操作 tmux 或 REPL。

Web 控制台

统一入口访问客户端管理、Shell、Agentic IR、客户端文件与取证文件浏览等功能

账号鉴权

SQLite + bcrypt 账号登录,通过 CLI 管理用户

多标签 Shell

WebSocket 承载的交互式终端,切换页面会话不中断

浏览器内 AIR

选择 Claude 或 Codex,查看 AI 回复、工具调用和结果,并继续追问

浏览器内调查

执行 AccessKey 调查、Recon 和进程分析,查看真实阶段进度并跳转报告

客户端文件浏览

在线浏览客户端文件系统,支持预览、下载、目录打包和单文件上传

取证文件浏览

服务端 Artifacts 支持 Markdown 预览、Dossier 编辑、上传、下载、重命名和删除

Dossier 报告编辑

从 WebUI 直接打开 Dossier 编辑器,编辑 Markdown 应急报告和附件

SOAR 快捷操作

allow、单机/批量 deploy、clean 一键调用,运行日志流式展示

插件系统

通过插件扩展 SIREN 的能力,无需修改核心代码。

插件管理

安装、卸载、启停插件,支持本地和远程模式

插件市场

从插件市场一键下载和更新插件

内置示例插件

jdump、chkrootkit 等开箱即用的示例插件

插件开发

了解如何编写自定义插件清单

SIREN 概述

了解 SIREN 的核心概念和能力

工具对比

SIREN 与其他同类工具的对比分析

On this page

信息收集报告与取证文件文件与进程管理配置文件支持远程模式专属功能Web 控制台插件系统