vanguard

VanGuard 是一个跨平台的企业级事件响应工具包，旨在简化数字取证与事件响应（DFIR）流程。它使用 Go 语言编写，提供单一可执行文件，无需安装即可运行，支持 Windows 和 Linux 系统，并且能在无网络环境下工作。该工具集成了 28 个预构建的事件响应用例，涵盖勒索软件、商业电子邮件入侵等多种威胁类型，每个用例都与 MITRE ATT&CK 框架映射，并支持分阶段证据收集。VanGuard 还原生支持 Velociraptor 的全生命周期管理，包括服务器初始化、客户端部署及 VQL 查询等，同时具备内存取证、快速取证、威胁狩猎等功能。其内置了证据完整性保护机制，如双重哈希和防篡改日志记录。适用于需要高效处理网络安全事件的企业环境，尤其是在需要快速响应且可能面临网络限制的情况下。