Cyber Triage 3.18 发布 - 新增 AI + 云自动化能力
Cyber Triage 3.18 for Windows - 面向事件响应的数字取证软件
Digital Forensics Specialized For Incident Response
请访问原文链接:https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查
Cyber Triage 是一款自动化的数字取证与事件响应(DFIR)软件,旨在帮助安全运营中心(SOCs)、托管安全服务提供商(MSSPs)、顾问和执法机构快速调查网络入侵事件,如恶意软件、勒索软件和账户接管等。
新增功能
Cyber Triage 3.18: New AI + Cloud Automation Capabilities
June 10, 2026
Cyber Triage 3.18:新增 AI + 云自动化能力
2026 年 6 月 10 日
3.18 版本 带来了更强大的 MCP 和云自动化能力,帮助确保您的调查过程更加快速、完整。
新增功能:
- 直接保存 AI 分析结果。
- 自动开始云端分析。
直接保存 AI 分析结果
新版本允许 AI 客户端(例如 Claude Desktop)将“增强分析备注(enrichment notes)”和评分结果写回 Cyber Triage。
这可以节省时间,并减少手动复制数据时产生的错误。
该功能支持任何 LLM(大语言模型),包括:
- AWS 中的 ChatGPT
- Anthropic 服务器
- 本地 LLM
此前版本的 Cyber Triage 增加了一个只读 MCP 服务器,用于执行调查研究和生成报告。
在该版本中,您仍然需要在 AI 客户端和 Cyber Triage 之间手动切换 (sysin),才能对项目评分或创建备注。
而在本版本中,您的 GenAI 客户端可以自动完成这些操作。
我们希望确保您清楚了解哪些数据来自 AI,因此 AI 写入事件数据库的数据只有以下两种方式:
- 以 “[AI]” 开头的 AI 增强分析备注。
- 类型为 “AI-Suggested Finding(AI 建议发现)” 的可疑评分。
以下是使用增强分析备注功能的示例提示:
随后,Claude 会提供它对事件中可疑项目的分析结果:
您可以在应用程序中新增加的 “AI Enrichment(AI 增强分析)” 区域查看结果:
同样,在与 LLM 对话过程中,LLM 也可能希望将某个项目标记为可疑。
这些结果会与其他可疑项目一起显示,并标记:
“AI-Suggested Finding(AI 建议发现)”:
LLM 的版本信息和判断依据也应该提供在详细信息(details)中(同样以 “[AI]” 开头):
Sleuth Kit Labs 认为 AI 可以为调查工作提供价值 (sysin),但同时必须清楚知道 AI 被应用在哪里,以便正确验证分析结果。
此版本相比之前只读 MCP 服务器节省了操作时间,同时仍然能够轻松区分:
- 原始数据(original data)
- AI 生成数据(AI-generated)
自动开始云端分析
在 SOC(安全运营中心)环境中,快速获得结果非常重要。
现在,当数据上传到 S3 或 Azure 存储桶后,可以立即开始分析。
这意味着 SOC 分析人员能够快速发现更多信息,而这些信息可能并不包含在 EDR 中。
Team Server 企业版新增 API,可以接收 S3 或 Azure Blob 的 URL,并将其添加到 Cyber Triage 分析队列中。
通过该 API:
- 分析人员可以使用 SOAR 剧本启动数据采集;
- 数据上传到云存储;
- AWS Lambda 或 Azure Function 检测到上传事件;
- 通知 Cyber Triage;
- Cyber Triage 自动开始分析;
- 几分钟后,分析人员登录即可查看结果。
整个过程无需人工直接操作,即可获得:
带评分的取证分析结果(scored forensic artifacts):
立即体验
Cyber Triage 3.18: New AI + Cloud Automation Capabilities
Apr 16 2026
更多:HTTP 协议与安全
