Бесплатная утилита Bi.Zone Triage позволяет собирать данные для анализа хоста, проверять хосты с помощью YARA-правил и находить заданные индикаторы компрометации. Утилита совместима с российскими дистрибутивами Linux: Astra Linux, «Альт» и «Ред ОС», и уже доступна на GitHub. Об этом CNews сообщили представители Bi.Zone.
Bi.Zone Triage применяется при расследовании инцидентов и поиске следов компрометации. Утилита не требует установки, позволяет собирать данные для анализа хоста, а также выполнять YARA-сканирование хостов и поиск индикаторов компрометации.
Полный список возможностей приложения можно найти на GitHub в сопроводительной документации.
Теймур Хеирхабаров, директор департамента Bi.Zone по мониторингу, реагированию и исследованию киберугроз: «Создавая утилиту, мы опирались на нашу обширную экспертизу и опыт расследования инцидентов и проведения оценок на компрометацию. Мы взяли за основу инвентаризационные возможности нашего Bi.Zone EDR. В результате получился простой и удобный в использовании бесплатный инструмент. Он сочетает в себе функции сбора данных для расследования и анализа, а также функции сканирования. Пользователи могут применять инструмент как для самостоятельного исследования своих инфраструктур по собранным данным, так и выполнять проверки с помощью YARA-правил. Мы же не собираемся останавливаться на выпуске утилиты, но планируем и в дальнейшем поддерживать комьюнити, рассказывая, как пользоваться инструментом на примере задач из нашего опыта».
Bi.Zone Triage представляет собой бинарный файл, в котором упакован облегченный агент Bi.Zone EDR Linux. В нем отключена возможность централизованного управления и ограничены функции инвентаризации системы. В состав утилиты входит заранее подготовленный набор конфигурационных файлов, описывающих профили сбора информации.
С помощью параметров командной строки пользователь определяет набор данных, который нужно собрать, а также способы вывода этих данных. При необходимости можно задать параметры для YARA-сканирования хоста. В результате происходит распаковка и запуск облегченной версии Bi.Zone EDR Linux с конфигурационными файлами, которые соответствуют параметрам сбора информации и проверки, заданным пользователем.
Bi.Zone Triage собирает не вывод команд операционной системы, а обогащенные данные инвентаризации от собственных модулей сбора, преобразуемые в формат JSON. Результаты работы утилиты можно получить в консоль в виде файла или передать в систему управления событиями кибербезопасности, задав IP-адрес и порт назначения через параметры командной строки.
В 2024 г. планируется выпустить версии Bi.Zone Triage для Windows и macOS.
***
Bi.Zone — компания по управлению цифровыми рисками. Bi.Zone разрабатывает собственные продукты для обеспечения устойчивости ИТ?инфраструктур любого размера и оказывает услуги по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 г. компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и др, защитив свыше 500 клиентов в 15 странах мира.