快速开始
快速上手 SIREN
欢迎使用 SIREN!本指南将帮助你在几分钟内完成部署并开始使用。
模式选择
SIREN 支持两种运行模式,可根据实际网络环境和应急响应场景灵活选择。
本地模式
在受害主机上直接运行 SIREN 客户端,所有数据采集、分析和结果输出均在本地完成。
适用场景:
- 受害主机处于隔离网络或无法访问互联网
- 对数据安全性要求极高,不允许数据传输到外部
特点:
- ✅ 无需额外部署服务端
- ✅ 完全离线运行,不依赖网络连接
- ⚠️ 需要直接登录受害主机操作
- ⚠️ 不支持多主机统一管理
远程模式
在受害主机上运行 SIREN 客户端,通过加密通道连接到控制主机上的 SIREN 服务端。客户端负责数据采集,服务端负责指令下发、数据汇聚和结果展示。
适用场景:
- 受害主机可以访问互联网或控制主机
- 需要同时处理多台受害主机
特点:
- ✅ 支持多主机统一管理和批量操作
- ✅ 更丰富的功能支持
- ⚠️ 需要额外部署服务端
- ⚠️ 依赖网络连接
模式选择建议
优先推荐远程模式,仅在网络隔离或特殊安全要求下选择本地模式。
服务端部署(可选)
仅远程模式下需要部署服务端。
内部预部署环境
在内部环境已完成 SIREN 控制主机设置,可开箱即用,无需关心凭证与外部工具配置。详见 内部文档。
客户端部署
内部环境:通过云助手一键部署
前置条件
受害主机为阿里云 ECS 且云助手状态正常
控制主机设置 SOAR 平台访问凭证(内部环境已设置)后,在 SIREN Server 运行:
>>> deploy <Alibaba Cloud UID> <ECS Instance ID>该命令会自动化执行以下步骤:
- 从 SOAR 平台获取受害主机信息(地域、操作系统类型、IP 地址)
- 允许受害主机 IP 地址访问服务器
- 将适当的 SIREN 客户端二进制文件部署到受害主机
- 返回部署状态和命令输出
手动部署
登录受害主机后,执行:
(wget -q -O - https://oss-siren.oss-cn-hongkong.aliyuncs.com/get_siren.sh || curl -s https://oss-siren.oss-cn-hongkong.aliyuncs.com/get_siren.sh) | sh此时如需使用远程模式,需要在防火墙中允许受害主机出口 IP 访问 SIREN Server 监听端口。
内部环境可以在 SIREN Server 运行以下命令,自动配置安全组规则:
>>> allow <Victim IP>受害主机出口 IP 可以通过 curl ifconfig.co/ip 获取。随后以客户端模式运行 SIREN:
./siren client -s <Server IP> -p <Server Port>