Cyber Triage 3.15 发布,导入 Defender 遥测数据 + 更多 SOC 功能

简介: Cyber Triage 3.15 for Windows - 面向事件响应的数字取证软件

Cyber Triage 3.15 发布,导入 Defender 遥测数据 + 更多 SOC 功能

Cyber Triage 3.15 for Windows - 面向事件响应的数字取证软件

Digital Forensics Specialized For Incident Response

请访问原文链接:https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org


唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查

sysin

Cyber Triage 是一款自动化的数字取证与事件响应(DFIR)软件,旨在帮助安全运营中心(SOCs)、托管安全服务提供商(MSSPs)、顾问和执法机构快速调查网络入侵事件,如恶意软件、勒索软件和账户接管等。

sysin

Cyber Triage 3.15: 导入 Defender 遥测数据 + 更多 SOC 功能

2025 年 9 月 4 日

Cyber Triage 3.15 的重点是让 SOC 更高效:

  • 直接导入 Defender 遥测数据,加快告警后的终端取证。
  • 将结果推送到 DFIR IRIS,更快速地集中调查发现。
  • 限制敏感事件的访问权限,仅限关键人员查看。
  • 轻松更新服务器设置,无需重启。

使用 Defender EDR 遥测进行终端取证

在告警被确认有效后,SOC 团队需要在主机上进行终端取证,以了解告警发生前的情况。Windows Defender for Endpoint(以及其他 EDR)包含可能对调查至关重要的历史数据,但在 EDR 控制台中使用这些数据非常复杂

现在 Cyber Triage 可以直接导入 Defender 数据,因此你可以结合采集的数据快速找到告警前发生的情况

使用 Defender 导入功能后,SOC 团队在告警后的流程是:

  1. 告警取证:确认告警是否有效。
  2. 将数据导入 Cyber Triage:启动调查,并直接从 API 导入数据。
  3. 标准化:Cyber Triage 会自动将 Defender 数据映射到其调查数据模型。
  4. 评分:Cyber Triage 会自动分析工件,并将其标记为恶意或可疑。
  5. 辅助检查:分析人员在 Cyber Triage 中审查数据,以查找数据外泄、横向移动和其他远程访问形式。

下面的示例展示了从 Defender Hunt API 获取的某个进程。“Sources” 选项卡显示了数据来源:

Cyber Triage and Defender

该功能在 Cyber Triage 中默认未启用。请联系销售部门获取更多信息。

将结果推送到 DFIR IRIS

部分 DFIR 团队使用 DFIR IRIS 来管理案件。

它可以用于:

  • 管理任务。
  • 将调查结果与以往案件进行关联。
  • 合并多个工具的结果,生成最终报告。

Cyber Triage 现在可以直接将结果推送到 DFIR IRIS。

结果会显示在:

  • 事件时间线
  • IOC

这能节省时间并减少错误,确保调查结果能快速集中给团队使用。

将结果推送到 DFIR IRIS

该功能在 Cyber Triage 中默认未启用。请联系销售部门获取更多信息。

限制事件访问权限

Cyber Triage 现在可以限制谁能查看敏感事件。

这在以下部署场景中非常重要:

  • 企业
  • 执法机构

在创建事件时,你可以选择允许所有人查看,也可以选择仅限有需要的人查看。

Restrict access to incidents feature

该功能在 Cyber Triage 中默认未启用。

更简便的服务器管理

在将 Cyber Triage Team Server 部署为 Windows 服务时,现在可以在无需重启的情况下进行更改。基于 Web 的管理界面已扩展,支持所有服务器设置。

因此,现在你只需使用浏览器连接,输入管理员凭证,就可以进行更改并查看状态。

New admin management

尝试一下吧

Cyber Triage 3.15: Import Defender Telemetry + More SOC Features

Sep 04 2025

更多:HTTP 协议与安全

目录
相关文章
|
生物认证
第二轮学习笔记: 扫描工具 -- nmap指纹识别与探测
第二轮学习笔记: 扫描工具 -- nmap指纹识别与探测
669 0
|
SQL Web App开发 XML
广联达OA漏洞合集(信息泄露+SQL注入+文件上传)
广联达Linkworks办公OA存在信息泄露,攻击者可通过此漏洞获取账号密码登录后台,造成其他影响。
3307 1
|
运维 Kubernetes Java
阿里云容器计算服务ACS ,更普惠易用、更柔性、更弹性的容器算力
ACS是阿里云容器服务团队推出的一款面向Serverless场景的子产品,基于K8s界面提供符合容器规范的CPU及GPU算力资源。ACS采用Serverless形态,用户无需关注底层节点及集群运维,按需申请使用,秒级按量付费。该服务旨在打造更普惠易用、更柔性、更弹性的新一代容器算力,简化企业上云门槛,加速业务创新。ACS支持多种业务场景,提供通用型、性能型及BestEffort算力质量,帮助客户更从容应对流量变化,降低综合成本。
|
JSON API PHP
ICP备案查询免费API接口使用教程
本文介绍如何通过接口盒子提供的免费API接口查询域名ICP备案信息,包含请求地址、参数说明及PHP和Python调用示例,适用于开发者快速集成备案查询功能。
992 1
|
存储 安全 UED
Cyber Triage 3.13 for Windows - 数字取证和事件响应
Cyber Triage 3.13 for Windows - 数字取证和事件响应
472 71
Cyber Triage 3.13 for Windows - 数字取证和事件响应
|
11月前
|
人工智能 自然语言处理 安全
大模型备案要点一次过【附材料清单详解】
广东省最新公布一批大模型备案名单,新增14款备案模型、6款登记模型,累计达80款备案、23款登记。文章详解大模型备案流程、周期(5-10个月)、要求(主体资质、数据合规、内容安全、模型完成度)、所需材料(备案表、安全评估报告、服务协议、语料标注规则等)及完整备案流程(初审、自测、提交、整改、终审、公示)。为大模型企业备案提供全面指导。
|
监控 安全 Linux
网络安全事件应急响应
应急响应是针对网络安全事件的快速处理流程,包括信息收集、事件判断、深入分析、清理处置、报告产出等环节。具体步骤涵盖准备、检测、抑制、根除、恢复和总结。
|
程序员 索引
SwiftUI极简教程18:SwipeCard卡片滑动效果的使用(上)
SwiftUI极简教程18:SwipeCard卡片滑动效果的使用(上)
1628 0
SwiftUI极简教程18:SwipeCard卡片滑动效果的使用(上)
|
安全 网络安全 PHP
RCE攻击绕过WAF详解
RCE攻击绕过WAF详解
436 3
|
存储 自然语言处理 Python
Python中文词汇与英文词频统计
本文介绍了如何使用Python进行英文和中文词频统计。对于英文,借助内置库按空格分隔单词并处理特殊字符;对于中文,需安装jieba分词库。代码实现中,通过读取文件、分词、统计词频并输出到文件。运行时,通过命令行提供文本和结果文件路径。此技能在学术研究、语言分析和文本挖掘领域颇有价值。
1062 4
Python中文词汇与英文词频统计