Бесплатная утилита BI.ZONE Triage позволяет собирать данные для анализа хоста, проверять хосты с помощью YARA-правил и находить заданные индикаторы компрометации. Утилита совместима с российскими дистрибутивами Linux: Astra Linux, «Альт» и «РЕД ОС», и уже доступна на GitHub.
BI.ZONE Triage применяется при расследовании инцидентов и поиске следов компрометации. Утилита не требует установки, позволяет собирать данные для анализа хоста, а также выполнять YARA-сканирование хостов и поиск индикаторов компрометации.
Полный список возможностей приложения можно найти на GitHub в сопроводительной документации.
«Создавая утилиту, мы опирались на нашу обширную экспертизу и опыт расследования инцидентов и проведения оценок на компрометацию. Мы взяли за основу инвентаризационные возможности нашего BI.ZONE EDR. В результате получился простой и удобный в использовании бесплатный инструмент. Он сочетает в себе функции сбора данных для расследования и анализа, а также функции сканирования. Пользователи могут применять инструмент как для самостоятельного исследования своих инфраструктур по собранным данным, так и выполнять проверки с помощью YARA-правил. Мы же не собираемся останавливаться на выпуске утилиты, но планируем и в дальнейшем поддерживать комьюнити, рассказывая, как пользоваться инструментом на примере задач из нашего опыта», — заявил Теймур Хеирхабаров, директор департамента BI.ZONE по мониторингу, реагированию и исследованию киберугроз
BI.ZONE Triage представляет собой бинарный файл, в котором упакован облегченный агент BI.ZONE EDR Linux. В нем отключена возможность централизованного управления и ограничены функции инвентаризации системы. В состав утилиты входит заранее подготовленный набор конфигурационных файлов, описывающих профили сбора информации.
С помощью параметров командной строки пользователь определяет набор данных, который нужно собрать, а также способы вывода этих данных. При необходимости можно задать параметры для YARA-сканирования хоста. В результате происходит распаковка и запуск облегченной версии BI.ZONE EDR Linux с конфигурационными файлами, которые соответствуют параметрам сбора информации и проверки, заданным пользователем.
BI.ZONE Triage собирает не вывод команд операционной системы, а обогащенные данные инвентаризации от собственных модулей сбора, преобразуемые в формат JSON. Результаты работы утилиты можно получить в консоль в виде файла или передать в систему управления событиями кибербезопасности, задав IP-адрес и порт назначения через параметры командной строки.
В 2024 году планируется выпустить версии BI.ZONE Triage для Windows и macOS.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.