Cyber Triage 3.14 发布,带来全新用户界面、Hayabusa 集成、基线设定等功能
Cyber Triage 3.14 for Windows - 面向事件响应的数字取证软件
Digital Forensics Specialized For Incident Response
请访问原文链接:https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查
Cyber Triage 是一款自动化的数字取证与事件响应(DFIR)软件,旨在帮助安全运营中心(SOCs)、托管安全服务提供商(MSSPs)、顾问和执法机构快速调查网络入侵事件,如恶意软件、勒索软件和账户接管等。
Cyber Triage 3.14 Release - Brings New UIs, Hayabusa, Baselining, and Much More
2025 年 5 月 5 日
Cyber Triage 3.14 版本现已发布,此次更新堪称重磅!
- 新增用户界面,助您快速了解主机情况。
- 集成 Hayabusa,以获取更多应用层评分和 Sigma 规则。
- 新增基线功能,可抑制来自黄金镜像的误报。
- 收集器更新 (sysin),支持公钥加密。
- 评分机制变更,您现在可以将某些项目标记为 “未知”,而非 “正常”。
- 新增功能:可为旧事件设置参考日期。
- 标准专业版恶意软件扫描限制现改为每周限制,而非每日限制。
全新用户界面,助您更快上手
打开 Cyber Triage 中的主机时,您首先会看到的变化如下。我们将在下文描述部分变更内容,您也可以在 YouTube 上观看变更视频。
顶层导航
首先,新增了顶层导航:
这些选项代表了我们教授的调查执行阶段:
- 摘要:获取被调查系统的基本概况。
- 查看重要项目:查看 Cyber Triage 通过自动化分析管道评定为不良或可疑的项目。
- 检查所有项目:深入查看所有收集到的工件。
- 报告:为其他检查员或系统生成报告。
我们对部分视图进行了调整,使其按照我们期望您使用的顺序排列。从 “摘要” 开始,然后进入 “查看重要项目” 等。
MITRE ATT&CK 战术
在 “摘要” 部分,新增了一个视图,用于显示被评定为 “不良” 的项目,并按其 MITRE ATT&CK 映射进行组织 (sysin)。这将帮助您更轻松地识别攻击的哪些阶段已被发现。
例如,您可以查找 “数据窃取” 标题以查找相关迹象。
使用过滤器查看重要项目
端点分诊的第二个主要阶段是查看 Cyber Triage 自动评定为不良或可疑的项目。我们过去为此提供了两个视图(一个用于不良项目,一个用于可疑项目)。现在,我们将它们合并并按时间排序。
这一新视图使调查更加轻松,因为:
- 时间对于判断项目是否为误报至关重要。
- 我们添加了过滤功能,使您能够更轻松地关注或忽略特定类型的结果。
要访问过滤器,请使用左上角的按钮,这将允许您按评分、类型、日期等进行过滤。
摘要视图包含旧版仪表盘控件
如果您正在寻找过去在主机仪表盘上找到的某些控件,它们现在可能位于 “摘要” 面板上。
- 要重新启动恶意软件扫描,请转到 “摘要 / 分析任务”。
- 要查找收集错误,请转到 “摘要 / 数据问题”。
- 要查看文件是否已收集,请转到 “摘要 / 收集信息”。
Hayabusa 集成,用于应用层攻击和 Sigma 规则
Cyber Triage 现在将在收集的事件日志上运行 Hayabusa,以提供更广泛的应用层攻击检测覆盖范围 (sysin)。Hayabusa 附带了一套强大的规则,Cyber Triage 用户现在可以从中受益。
Hayabusa 将自动在所有传入数据上运行。您无需执行任何特殊操作即可启用它。
您还可以使用 Sigma 规则扩展 Hayabusa 的功能,这些规则随后将在事件日志上运行(但并非所有信息工件都适用)。
使用基线和黄金镜像减少误报
您现在可以配置 Cyber Triage 以了解您的黄金镜像,并将其用作基线。在这些镜像中发现的任何工件都不会被后续评定为不良或可疑。这将节省分析师的时间,因为他们无需手动将项目添加到 “正常列表” 中。
要将项目添加为基线:
- 导入黄金镜像。
- 转到选项面板并指定其为基线。
使用公钥加密收集器输出
Cyber Triage 收集器现在可以使用公钥加密来保护其输出。过去它支持密码保护,但这种方法容易出错且风险更高,因为密码必须在目标系统上提供。
现在,收集器可以加密数据,并且只有主 Cyber Triage 应用程序才能解密。
您可以从选项面板生成 RSA 密钥对。
新评分选项:未知
如果某个项目可能来自攻击者或正常系统活动,Cyber Triage 会将其评定为可疑。用户现在可以将正常活动标记为 “未知”,而非 “正常”。
将项目标记为 “未知” 仅表示它并非 Cyber Triage 最初认为的可疑项目,但最终可能因其他原因而可疑或不良。而将项目标记为 “正常” 则表示您知道它是正常的,并且永远不应被视为不良或可疑。
设置事件参考日期
在理想情况下,您会在事件发生后迅速从主机收集并分析数据。但有时,时间会过去数周。
如果发生这种情况,您现在可以在添加主机时设置参考日期 (sysin)。这将使基于时间的分析能够基于该过去日期进行。例如,它将关注您指定日期之前的 30 天,而非您收集数据之前的 30 天。
您可以在添加任何主机时指定此日期:
标准专业版恶意软件扫描限制现为每周限制
最后,我们始终希望确保您能够迅速完成调查,并且永远不必因达到恶意软件扫描限制而等待恢复。
标准专业版(这是具有批处理和更高恶意软件扫描限制的桌面版本)现在具有每周限制,而非每日限制。这意味着,如果您在一天内有很多案例,您可以在一天内全部使用完,而无需在 5 天内分散使用。
无需进行任何更改。Cyber Triage 将自动应用此更改。
尝试一下吧
Cyber Triage 3.14 Release - Brings New UIs, Hayabusa, Baselining, and Much More
May 5, 2025
更多:HTTP 协议与安全
