推荐：ACE - 自动化收集与丰富数据平台

在网络安全领域，快速有效地收集和分析数据是至关重要的。这就是我们推荐ACE的原因，一个专为威胁猎手设计的自动化数据采集和丰富工具套件。ACE无需在目标主机上安装额外软件，即可从Windows，macOS和Linux系统中提取信息，为你的安全分析提供强大的支持。

项目介绍

ACE致力于简化跨环境远程收集数据的过程，它包括凭据管理、计划安排、集中式脚本管理和远程文件下载等功能。通过集成这些功能，ACE能够增强SIEM（如Splunk, ELK等）的能力，专注于数据收集和丰富，而将最终的分析任务留给这些专业工具。

(图：ACE架构)

为什么选择ACE？

ACE诞生于应对特定限制场景的需求：

• 不允许在目标主机上安装专用数据采集工具。
• 运行可执行文件（如Sysinternals工具）不可行。
• Windows远程管理（WinRM）未启用。
• 对macOS/Linux主机的可见性有限或不存在。
• 需要创建针对客户特定数据的新脚本/工具。
• 网络分区要求多凭证访问所有机器。

项目技术分析

ACE由四个组件构成：ACE Web服务、ACE Nginx web代理、ACE SQL数据库和ACE RabbitMQ消息队列。Web服务是一个RESTful API，用于处理客户端的扫描调度和管理请求。SQL数据库存储配置和扫描数据，RabbitMQ服务处理数据自动丰富。

部署涉及识别Linux Docker主机和Windows主机的IP地址，并使用Docker镜像构建组件。

应用场景

ACE非常适合需要在受限环境中进行安全评估的情况，例如企业内部网络、高度分段的网络，或是对操作系统有严格限制的地方。它可以迅速地提供大量主机的数据，帮助安全团队评估潜在的威胁。

项目特点

1. 无代理: 在不增加目标主机负担的情况下收集数据。
2. 多平台支持: 能够处理Windows、macOS和Linux上的数据。
3. 中央管理: 凭证、脚本和扫描的统一管理。
4. 自动化丰富: 利用RabbitMQ进行数据自动化处理，提高效率。
5. 灵活扩展: 容易添加新的脚本或工具以适应特定数据需求。

如何使用ACE？

部署ACE服务器后，可以通过提供的PowerShell脚本进行用户管理、凭据输入、脚本上传和扫描计划。简单易用的命令如New-AceUser、Remove-AceUser、New-AceCredential、Start-AceDiscovery和Start-AceSweep让你轻松掌握操作。

更多资源

• ACE GitHub Wiki
• ACE 黑帽阿森纳演讲幻灯片

贡献代码

欢迎对ACE进行贡献，一起打造更强大的网络安全工具！

通过ACE，你可以提升威胁检测和响应的速度与准确性，节省宝贵的时间，聚焦在真正重要的数据分析上。现在就加入ACE的行列，提升你的网络安全保护级别吧！