功能特性
SIREN 的主要功能特性列表
信息收集
自动化采集受害主机上的关键安全信息,支持按模块独立开关。
基础系统信息
主机名、操作系统、内核版本、CPU、内存、磁盘等
用户
用户列表、登录历史、sudoers、影子文件等
SSH
SSH 配置、authorized_keys、known_hosts 等
进程
进程列表、CPU/内存 Top 20、隐藏进程检测
网络
网络连接、监听端口、DNS 配置、ARP 表等
计划任务
crontab、at 任务、Windows 计划任务等
服务与启动项
systemd 服务、init 脚本、Windows 服务等
环境变量
系统环境变量、LD_PRELOAD 等敏感变量检查
文件
近期修改文件、大文件、SUID 文件、敏感目录等
Rootkit
内核模块检查、LD_PRELOAD 检查、系统完整性验证
Webshell
Web 目录扫描,基于关键字和正则匹配的 Webshell 检测
应用
已安装软件包、运行中的 Web 应用/中间件
数据展示
信息收集结果支持多种方式查看。
本地 Markdown 文件
采集结束后在本地保存结构化 Markdown 报告,可直接阅读
上传至 OSS
自动上传报告到 OSS 进行集中存储和共享
自动 MkDocs 展示
内部环境支持自动同步到 MkDocs 站点,提供搜索和 AI 分析
文件与进程分析
对受害主机上的文件和进程进行深度分析。
配置文件支持
通过 YAML 配置文件灵活控制 SIREN 的行为。
信息收集项开关
按模块独立控制信息收集项,按需启用或禁用
OSS 配置
配置 OSS Bucket 信息(敏感凭证通过环境变量设置)
自定义检测规则
通过正则表达式定义白名单和黑名单规则,降低噪音
通信设置
配置客户端-服务端的连接地址、端口和 TLS 证书
MCP 服务器设置
配置 MCP 服务器监听端口
Agentic 应急响应设置
配置大模型 CLI 路径和 prompt 模板
远程模式专属功能
远程模式在本地模式的基础上,提供以下专属功能。
自动化客户端部署
通过云助手一键将 SIREN 客户端部署到受害主机
远程 Shell
全交互式远程 Shell,支持 vim、top 等交互式命令
AccessKey 调查
调查云上 AccessKey 调用历史,评估影响范围
Agentic 应急响应
AI Agent 自动化执行应急响应,生成完整报告
TLS 加密通信
所有客户端-服务端通信均通过 TLS 加密保护
端口转发
将受害主机内网服务转发到控制主机进行访问
MCP 集成
通过 MCP 协议接入任意 AI 助手
痕迹清除
远程清除受害主机上的 SIREN 痕迹
插件系统
通过插件扩展 SIREN 的能力,无需修改核心代码。