Kansa é uma ferramenta de código aberto desenvolvida em PowerShell para coleta de dados de sistemas Windows em ambientes de resposta a incidentes e [[Introdução|análise forense]]. Ela permite que profissionais de segurança coletem artefatos relevantes de forma rápida e eficiente. ## Principais Funcionalidades - Coleta de artefatos de sistemas Windows utilizando módulos personalizáveis. - Execução em múltiplos sistemas simultaneamente por meio de PowerShell Remoting. - Suporte à coleta de uma ampla gama de artefatos, incluindo logs de eventos, processos, conexões de rede e mais. - Flexibilidade para adaptar os módulos de coleta às necessidades específicas da investigação ## Componentes Principais ### 1. Módulos Kansa utiliza módulos escritos em PowerShell para definir quais artefatos devem ser coletados. Os módulos podem variar desde simples consultas WMI até análises complexas de logs e registros do sistema. ### 2. Configuração A configuração do Kansa é feita através de arquivos de configuração que especificam quais módulos devem ser executados e como os dados coletados devem ser processados e armazenados. ## Comandos Básicos ### Execução Local ```powershell .\kansa.ps1 -CollectionModules .\Modules\* ``` ### Execução Remota Para executar o Kansa em múltiplos sistemas remotos, é necessário configurar o PowerShell Remoting nos sistemas alvo. O comando abaixo ilustra a execução remota: ``` .\kansa.ps1 -TargetComputers (Get-Content .\computers.txt) -CollectionModules .\Modules\* ``` Lê a lista de computadores de `computers.txt` e executa os módulos especificados em cada sistema. ## Exemplos de Módulos Kansa vem com uma variedade de módulos pré-concebidos para coletar diferentes tipos de artefatos. Alguns exemplos incluem: - **Processos em Execução**: Coleta informações sobre processos atualmente em execução. - **Logs de Eventos**: Extrai logs de eventos de segurança e sistema. - **Conexões de Rede**: Coleta detalhes sobre conexões de rede estabelecidas. - **Tarefas Agendadas**: Lista tarefas agendadas no sistema.