Cyber Triage 3.17 发布 - 使用生成式 AI 增强并生成 DFIR 数字痕迹报告
Cyber Triage 3.17 for Windows - 面向事件响应的数字取证软件
Digital Forensics Specialized For Incident Response
请访问原文链接:https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查
Cyber Triage 是一款自动化的数字取证与事件响应(DFIR)软件,旨在帮助安全运营中心(SOCs)、托管安全服务提供商(MSSPs)、顾问和执法机构快速调查网络入侵事件,如恶意软件、勒索软件和账户接管等。
新增功能
Cyber Triage 3.17: Use AI to Enrich and Report your DFIR Artifacts
Cyber Triage 3.17:使用 AI 增强并生成 DFIR 数字痕迹报告
2026 年 4 月 16 日
Cyber Triage 3.17.0 已发布,允许你将 AI 集成到调查过程中,从而更快得出结论。你现在可以使用 Claude 作为一个只读的 AI 助手,用于增强 Cyber Triage 的分析结果、生成报告以及发现新的线索。
这是我们首次将生成式 AI(GenAI)集成到 Cyber Triage 中。在本文中,我们将介绍 MCP Server 以及你可以利用它实现的功能。
通过 MCP 将 Claude Desktop 与 Cyber Triage 集成
此次 Cyber Triage 的核心新增功能是 MCP Server。它允许 MCP 客户端(例如 Claude Desktop)连接并查询数据。简单来说,可以将 MCP 理解为一个可供 LLM 调用以获取数据的 REST API。
数据流如下:你在本地计算机上运行 Claude Desktop 和 Cyber Triage,Claude Desktop 随后可以与 Anthropic 的服务器或 AWS / Azure / GCP 等平台上的 LLM 进行通信。
实际上,你可以使用任何 MCP 客户端,LLM 服务器也可以部署在任意位置。我们之所以重点介绍 Claude Desktop,是因为它目前最为流行。
与你的 DFIR 数据对话
完成连接后,你可以借助 LLM 的能力,加快调查速度:
- 与数据对话: 通过提问(而非编写查询语句),任何分析人员都可以像专家一样分析数据。
- 轻松增强发现结果: 使用 AI 为 Cyber Triage 的评分结果补充上下文信息,包括威胁情报和分析内容。
- 将结果转化为报告: 可快速从 Cyber Triage 的结果中生成时间线、执行摘要以及完整的调查报告。
例如,你可以让系统生成一份重要活动时间线:
或者生成入站和出站登录的网络拓扑图:
或者提出增强类问题,例如某个文件名是否常见:
DFIR + AI 使用注意事项
AI 有时表现惊艳,有时也会令人沮丧。我们正在以渐进且透明的方式,将生成式 AI 引入 Cyber Triage。
在本次版本中,需要注意以下几点:
- 评分机制: 我们未使用 GenAI 进行评分。仍然采用确定性方法来判断数字痕迹是否为恶意或可疑。
- 只读模式: Claude 无法更改 Cyber Triage 数据库中的任何数据,你无需担心其将“幻觉”写入数据集中。
- 由你主导: 是否使用 GenAI 完全由你决定,因此你始终清楚哪些内容是由 AI 生成的。
- 自带 AI(BYOAI): 你使用的不是我们的模型,我们也不会看到你的数据。数据仅会发送到你已签署协议的服务端(Anthropic、云平台或内部环境)。
快速设置视频
我们提供了一段简短视频,展示如何完成设置并使用该功能。
面向所有用户的企业级功能
该功能原本属于 Cyber Triage 企业版的一部分,但我们将其开放给所有用户使用,截止日期为 2026 年 9 月 1 日。
生成式 AI 正在迅速发展,大家都在积极探索。我们希望鼓励大家尝试,并与你一同学习哪些提示词有效,哪些效果不佳。
立即体验
Cyber Triage 3.17: Use AI to Enrich and Report your DFIR Artifacts
Apr 16 2026
更多:HTTP 协议与安全
