Cyber Triage 3.7 (Windows) - 数字取证和事件响应
请访问原文链接:https://sysin.org/blog/cybertriage-3,查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查
调查入侵的新方法
Cyber Triage 是自动化的数字取证和事件响应 (DFIR) 软件,它允许像您这样的网络安全专业人员快速回答与以下相关的入侵问题:
- 恶意软件
- 勒索软件
- 帐户接管
它使用基于主机的数据、评分、高级分析和推荐引擎来确保您的调查快速而全面 (sysin)。
DFIR 工件评分的领导者
Cyber Triage 是唯一能够:
- 对工件进行评分以确保您快速关注相关数据
- 使用 40 多个恶意软件检测引擎扫描可执行文件
- 在无法使用代理的具有挑战性的环境中部署
- 推荐工件以确保您跟进所有线索 (sysin)
SOC、MSSP、顾问和执法部门都使用这些功能来回答他们的棘手调查问题 (sysin),例如“攻击者做了什么?” 和“他们是怎么进来的?”。
更快地完成调查
速度对于确保您在证据被覆盖之前获得证据并将攻击者可能造成的损害降至最低至关重要。
Cyber Triage 通过以下方式最大化您每秒处理的工件:
- 识别相关的工件并首先显示它们。
- 推荐工件,以便您快速跟踪所有线索。
- 与 SIEM 集成,以便尽快开始收集。
进行更全面的调查
调查需要全面,以了解事件的全部范围并消除持久性机制。
Cyber Triage 通过以下方式为您提供广度:
- 根据众多攻击场景收集了数十种神器类型。
- 使用 40 多个恶意软件扫描引擎分析可执行文件。
- 使用威胁情报来更新收集方法和启发式方法 (sysin)。
灵活部署
使用 Cyber Triage 进行的调查有四个基本步骤:
- 数据是使用无代理收集工具收集的,该工具通过网络将工件发送到 USB 或 S3。
- 使用威胁情报对工件进行分析和评分。主机之间建立关联。
- 响应者审查工件并根据他们需要回答的问题进行更深入的研究。
- 从事件中收集并添加其他主机 (sysin)。
Cyber Triage 的设计适用于 Cyber First Responder 所处的任何场景。它可以在笔记本电脑、云或本地服务器上运行。
下载地址
Cyber Triage 3.5 Release – Merging artifacts, viewing source files, and anomalous logons
November 21, 2022
Cyber Triage 3.6 Release – Processes, OS Accounts, and Indicator Exports
February 20, 2023
Cyber Triage 3.7 Release – Custom File Collection & MITRE ATT&CK
Jun 30, 2023
百度网盘链接:https://sysin.org/blog/cybertriage-3