Бесплатная утилита Bi.Zone Triage теперь доступна на macOS. Среди ключевых функций утилиты — сбор данных для анализа хоста, проверка хостов с помощью YARA?правил, а также поиск заданных индикаторов компрометации. Bi.Zone Triage для macOS не требует установки и уже доступна на GitHub. Об этом CNews сообщили представители Bi.Zone.
Новая версия утилиты обладает теми же возможностями, что и версия для Linux, и может применяться при расследовании инцидентов и поиске следов компрометации. С помощью Bi.Zone Triage для macOS пользователи могут самостоятельно исследовать свои инфраструктуры и искать в них признаки компрометации на основе собранных данных, а также проверять заданные каталоги с помощью YARA-правил.
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, Bi.Zone: «Год назад мы представили для Linux бесплатный инструмент с функциями сбора данных с целью расследования и анализа, а также функциями сканирования. За основу мы взяли инвентаризационные возможности нашего Bi.Zone EDR. Опыт оказался удачным: прошедший год подтвердил, что утилита пользуется большим спросом со стороны комьюнити. Мы рады представить сегодня новую версию Bi.Zone Triage, которая сделает все те же функции доступными и на macOS».
Bi.Zone Triage для macOS представляет собой бинарный файл с облегченным агентом Bi.Zone EDR для macOS. В состав утилиты входит заранее подготовленный набор конфигурационных файлов, которые описывают профили сбора важной информации, необходимой для расследования инцидентов. При этом функции инвентаризации системы ограничены, а возможность централизованного управления полностью отключена.
Чтобы начать работу с утилитой, пользователь должен с помощью параметров командной строки определить, какие наборы данных необходимо собрать, а также указать способы вывода этих данных. Кроме того, можно задать параметры для YARA-сканирования хоста. После этого происходят распаковка и запуск облегченной версии Bi.Zone EDR macOS с конфигурационными файлами, которые соответствуют заданным параметрам сбора информации и проверки.
Bi.Zone Triage собирает не вывод команд операционной системы, а обогащенные данные инвентаризации от собственных модулей сбора. Эти данные преобразуются в формат JSON. Результаты работы утилиты можно получить на консоль в виде файла или передать в систему управления событиями кибербезопасности. Для этого необходимо задать IP?адрес и порт назначения через параметры командной строки.
Ранее компания Bi.Zone сообщала о появлении в Bi.Zone EDR двухфакторной аутентификации и ряда других функций, повышающих эффективность мониторинга угроз.
Поделиться