Категории
Проблемы которые решает
Нехватка собственных разработчиков ПО
Нехватка собственных ИТ ресурсов
Нехватка собственных ИТ инженеров
Высокие расходы на ИТ специалистов
Ценности
Повышение продуктивности персонала
Сокращение затрат
BASIS TECHNOLOGY Cyber Triage
Ускорьте реагирование на инциденты с помощью автоматизации
О продукте
Описание
Начните расследование конечных устройств
Непосредственно интегрируясь с системами оркестрации, автоматизации и реагирования (SOAR), а также с системами защиты информации и управления событиями (SIEM), расследования Cyber Triage могут начинаться автоматически на основе предупреждений или по желанию аналитиков.
Требования и интеграции:
- Для интеграции с SOAR/SIEM требуется командная версия Cyber Triage, которая включает в себя REST API
- Cyber Triage интегрируется с Demisto, DFLabs, IBM QRadar SIEM, IBM Resilient, Phantom, Splunk и Swimlane и другими
- Если в настоящее время мы не поддерживаем необходимую интеграцию, обратитесь к нам. Мы можем добавить необходимую интеграцию по желанию
- Работает на всех версиях Microsoft Windows (XP и новее)
- Не требует установки на целевые системы; он вставляется в действующие системы по мере необходимости или может работать непосредственно с USB-накопителя
- Содержится в одном исполняемом файле, что облегчает внедрение
- Анализирует образы дисков в формате raw или E01
- Использует библиотеку криминалистики Sleuth Kit®, что делает коллекцию менее уязвимой для типичных руткитов и не изменяет время доступа к файлам
- Изменчивые данные (включая запущенные процессы, открытые порты, зарегистрированных пользователей, активные сетевые подключения и кэш DNS)
- Механизмы сохранения вредоносных программ, включая элементы автозагрузки и запланированные задачи
- Активность пользователей, в том числе какие программы они запускали, веб-активность и авторизации
- Содержимое из подозрительных файлов
- Файловые метаданные из всех файлов в системе
- Файлы с вредоносным ПО
- Известные опасные файлы и другие элементы, основанные на IOC и черных списках
- Программы запуска, службы или драйверы в необычных местах или которые не имеют сигнатур
- Учетные записи пользователей с аномальным поведением и неудачными авторизациями
- Подключения к удаленному рабочему столу с подозрительными пользователями и настройками
- Зашифрованные архивные файлы, которые могут быть от извлечения данных
- Наличием встроенного рабочего процесса экспертизы вторжений, который позволяет пользователям быстро видеть, какие элементы являются подозрительными, и помечать их как подозрительные.
- Пользователи могут увидеть сетевые подключения данных и информацию об удаленном хосте, или посмотреть исполняемый файл процесса или как он запустился
- Отображением текущего графика опасных объектов; когда элемент помечен как опасный в процессе расследования, он отображается на небольшой временной шкале, что позволяет легко сравнивать подозрительный элемент с другими аналогичными
- Предоставлением полной шкалы активности системы, которая позволяет пользователю видеть, что произошло до и после данного события; это облегчает поиск связанных действий и создает контекст вокруг подозрительного события
- Предоставлением пользователю вида проводника, чтобы увидеть, что еще находится в папке с подозрительными файлами
- Показывает, насколько распространенный или редкий данный объект, как часто он был найден в предыдущих сессиях
- Определение в очередь набор хостов, которые нуждаются в сборе и анализе данных
- Добавление хостов в одну и ту же «группу инцидентов», которая позволяет пользователю сравнивать их
- Элементы, помеченные как опасные на одном хосте, будут отмечены также на других.