BASIS TECHNOLOGY Cyber Triage

Начните расследование конечных устройств Непосредственно интегрируясь с системами оркестрации, автоматизации и реагирования (SOAR), а также с системами защиты информации и управления событиями (SIEM), расследования Cyber Triage могут начинаться автоматически на основе предупреждений или по желанию аналитиков. Требования и интеграции:

• Для интеграции с SOAR/SIEM требуется командная версия Cyber Triage, которая включает в себя REST API
• Cyber Triage интегрируется с Demisto, DFLabs, IBM QRadar SIEM, IBM Resilient, Phantom, Splunk и Swimlane и другими
• Если в настоящее время мы не поддерживаем необходимую интеграцию, обратитесь к нам. Мы можем добавить необходимую интеграцию по желанию

Получите данные с конечных устройств Целенаправленный сбор данных Cyber Triage экономит время, поскольку он копирует наиболее важные данные из системы за один шаг и не требует от пользователя создания криминалистического образа всего диска. Свойства инструментов сбора:

• Работает на всех версиях Microsoft Windows (XP и новее)
• Не требует установки на целевые системы; он вставляется в действующие системы по мере необходимости или может работать непосредственно с USB-накопителя
• Содержится в одном исполняемом файле, что облегчает внедрение
• Анализирует образы дисков в формате raw или E01
• Использует библиотеку криминалистики Sleuth Kit®, что делает коллекцию менее уязвимой для типичных руткитов и не изменяет время доступа к файлам

Тип собираемых данных:

• Изменчивые данные (включая запущенные процессы, открытые порты, зарегистрированных пользователей, активные сетевые подключения и кэш DNS)
• Механизмы сохранения вредоносных программ, включая элементы автозагрузки и запланированные задачи
• Активность пользователей, в том числе какие программы они запускали, веб-активность и авторизации
• Содержимое из подозрительных файлов
• Файловые метаданные из всех файлов в системе

Выявление опасных и подозрительных объектов После сбора данных из целевой системы Cyber Triage автоматически ищет доказательства того, что опытный респондент будет искать в первую очередь. Он ищет данные, которые являются аномальными и похожими на прошлые инциденты. Каждому собранному объекту присваивается оценка в зависимости от его риска. Опасные и подозрительные объекты показываются пользователю. Автоматизированные методы анализа могут найти:

• Файлы с вредоносным ПО
• Известные опасные файлы и другие элементы, основанные на IOC и черных списках
• Программы запуска, службы или драйверы в необычных местах или которые не имеют сигнатур
• Учетные записи пользователей с аномальным поведением и неудачными авторизациями
• Подключения к удаленному рабочему столу с подозрительными пользователями и настройками
• Зашифрованные архивные файлы, которые могут быть от извлечения данных

Позволяет аналитикам принимать грамотные решения Каждый хост отличается, потому что у каждого пользователя разные модели использования и технические знания. Отвечая на инцидент, респонденты должны принимать решения для каждого хоста. Cyber Triage помогает им принимать эти решения. Cyber Triage помогает:

• Наличием встроенного рабочего процесса экспертизы вторжений, который позволяет пользователям быстро видеть, какие элементы являются подозрительными, и помечать их как подозрительные.
• Пользователи могут увидеть сетевые подключения данных и информацию об удаленном хосте, или посмотреть исполняемый файл процесса или как он запустился
• Отображением текущего графика опасных объектов; когда элемент помечен как опасный в процессе расследования, он отображается на небольшой временной шкале, что позволяет легко сравнивать подозрительный элемент с другими аналогичными
• Предоставлением полной шкалы активности системы, которая позволяет пользователю видеть, что произошло до и после данного события; это облегчает поиск связанных действий и создает контекст вокруг подозрительного события
• Предоставлением пользователю вида проводника, чтобы увидеть, что еще находится в папке с подозрительными файлами
• Показывает, насколько распространенный или редкий данный объект, как часто он был найден в предыдущих сессиях

Поиск других хостов Хост, которого вы анализируете, может быть верхушкой айсберга. Если есть один подозреваемый, то может быть полезно начать определять масштаб инцидента для других хостов. Cyber Triage позволяет охватывать все инциденты. Методы анализа Cyber Triage:

• Определение в очередь набор хостов, которые нуждаются в сборе и анализе данных
• Добавление хостов в одну и ту же «группу инцидентов», которая позволяет пользователю сравнивать их
• Элементы, помеченные как опасные на одном хосте, будут отмечены также на других.