Cyber Triage 3.12 发布下载,新增功能概览
Cyber Triage 3.12 for Windows - 数字取证和事件响应
Digital Forensics Specialized For Incident Response
请访问原文链接:https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查
新增功能
3.12 添加了数据泄露检测、USB 设备和更轻松的验证
Cyber Triage 3.12 已经发布,这里想重点介绍一些关键的新功能,这些功能将使您的响应更快。
- 数据泄露检测:快速了解是否使用了泄露工具或域。
- USB 存储识别:快速了解最近是否使用了 USB 设备
- 服务器端磁盘映像处理:更快地处理大批量磁盘映像
- 更轻松的工件验证:将 Cyber Triage 输出与您当前的工具进行比较,以了解它是否满足您的需求。
快速识别数据泄露
当数据从组织的网络中删除时,就会发生数据泄露。这对任何组织来说都是一种风险,因为它可能导致威胁行为者获取敏感数据。确定 PII 是否泄露是任何 DFIR 团队的关键调查目标。
Cyber Triage 通过自动标记可用于数据泄露的工具和域的使用,使此过程变得更加容易,这意味着您将快速查看是否存在可疑的泄露活动。
不幸的是,攻击者将使用合法的数据存储站点(例如 GitHub 或 Google Drive)来临时存储数据。Cyber Triage 现在将标记这些网站的使用情况,但如果它们在您的环境中很常见,您可以选择“良好列表”。
确定外部存储使用情况
员工或其他授权用户可以使用外部 USB 存储从组织泄露数据。在调查用户时,了解他们最近是否使用过 USB 设备非常重要。
Cyber Triage 现在将显示连接到系统的 USB 设备以及上次连接的时间 (sysin)。这可以帮助您确定系统上最近是否有 USB 活动。您可以在新的 “Attached Devices” 部分找到这些结果。
服务器端磁盘图像处理
快速处理大量数据对于尽快获得您的第一条线索非常重要。Cyber Triage 过去要求 Team 客户端在磁盘映像进行初始处理时保持在线状态,因为磁盘映像仅在客户端上。这限制了研究人员在最初扫描所有人之前可以做的其他事情。
如果服务器已经有权访问数据源,Cyber Triage 现在可以在服务器上处理磁盘映像和收集器输出(JSON 文件)。然后,客户端可以断开连接并执行其他任务。
要使用此功能,您的服务器需要访问磁盘映像,而客户端只需将路径提交给服务器即可进行调度。
更轻松地验证您的结果
验证任何取证工具的结果都很重要。为了更快地进行调查,Cyber Triage 选择以不同的方式做事,这使得验证变得更加复杂。
例如,调查人员经常希望比较解析 Prefetch 的结果 (sysin)。这在 Cyber Triage 中很难做到,因为我们从来没有一个地方只显示 “Prefetch”。我们将 Prefetch 作为一个进程来显示,因为它表示一个进程,我们不希望您总是必须记住每个工件的含义。我们总是在 “Sources” 视图中显示它来自 Prefetech。
Cyber Triage 作为新的“构件源”视图,该视图按传统数据构件进行组织,并允许您查看 Cyber Triage 从该来源找到的内容。您可以看到从 Prefetch 创建的所有进程。
我们的假设是,此视图将主要在评估期间和使用 Cyber Triage 的最初几周内出现。然后,他们将使用我们更传统的方式对工件进行分组。
下载地址
Cyber Triage 3.12 Release - Adds Data Exfiltration Detection, USB Devices, and Easier Validation Oct 01 2024
更多:HTTP 协议与安全
标签:USB,3.12,Cyber,磁盘,泄露,Triage From: https://www.cnblogs.com/sysin/p/18545595