BI.ZONE Triage
Бесплатный инструмент для сбора данных, необходимых при расследовании инцидентов, оценке компрометации и проактивном поиске угроз
19 ноября, 11:00
Нет инцидента — нет проблем
Как BI.ZONE EDR помогает предупреждать угрозы
Назначение
BI.ZONE Triage позволяет собирать данные для криминалистического анализа, находить индикаторы компрометации (IoC) и применять YARA‑правила для быстрого поиска аномалий. Инструмент создан на базе решения BI.ZONE EDR и не требует дополнительной установки. Скачать бесплатно можно на нашем GitHub
Возможности
-
Поддержка Linux и macOS систем
-
Сбор данных с хостов
-
Сканирование системы с помощью YARA‑правил
-
Поиск IoC
-
Выявление мисконфигураций
-
Сохранение данных в формате
.jsonлибо отправка по сети в систему управления событиями кибербезопасности -
Архивирование собранных данных
-
Настройка ограничения по времени работы и потреблению ресурсов CPU
Какие данные собираются
Текущая активность хоста:
-
запущенные процессы
-
активные сетевые подключения
-
открытые на прослушивание порты
-
открытые файлы
-
активные пользовательские сессии
Сведения об установленном ПО:
-
пакеты
-
модули Python, Ruby и NPM
-
подключенные репозитории для установки и обновления пакетов
-
поврежденные пакеты
Инвентаризация метаданных файлов
-
файлы в автозагрузке
-
каталоги временных файлов
-
стандартные каталоги установки пакетов
-
каталоги, используемые атакующим или вредоносным ПО при закреплении
-
произвольные каталоги, заданные при запуске утилиты
Инвентаризация автозагрузки:
-
задачи cron
-
задачи at
-
systemd-сервисы
-
systemd-таймеры
-
модуля ядра
-
LD_PRELOAD
-
shell-скрипты (
.bashrc,.bash_profile, и т. д.)
Сведения о пользователях и группах:
-
авторизованные SSH‑ключи
-
правила sudoers
Сведения о файловой системе хоста:
-
общие сетевые каталоги (NFS, Samba)
-
примонтированные носители
Сетевая конфигурация хоста:
-
сетевые интерфейсы
-
настройки DNS
-
записи в файле hosts
-
содержимое ARP-кеша
-
содержимое таблицы маршрутизации
-
правила штатного межсетевого экрана ОС
Сведения о контейнерах:
-
запущенные docker‑контейнеры
-
остановленные docker‑контейнеры
-
образы docker‑контейнеров
-
состояние docker‑демона
-
запущенные на хосте K8S‑поды
Исторические данные:
-
вводимые команды (
.bash_historyи т. п.) -
попытки входа в систему (wtmp, btmp)
Сравнение с другими инструментами
| BI.ZONE Triage | Другие инструменты сбора данных | Другие инструменты сканирования | |
|---|---|---|---|
|
IoC-сканирование
|
|
||
|
YARA-сканирование
|
|||
|
Автоматическое реагирование
|
|
||
|
Сбор данных
|
|||
|
Собственная реализация сбора данных вместо использования встроенных утилит ОС
|
|||
|
Использование кастомных сценариев сбора данных и проверки хостов
|
|||
|
Отправка данных в систему управления событиями кибербезопасности
|
|||
|
Приведение данных к единой таксономии
|
|||
|
Поиск мисконфигураций
|
|
||
|
Ограничение времени работы и потребления ресурсов CPU
|
Преимущества
Разработан командой экспертов
Объединяет в себе возможности инструментов сбора и сканирования данных
Не требует установки
Содержит подробную документацию для начала работы
Собирает обогащенные данные инвентаризации от собственных модулей сбора, преобразуемые к формату
.jsonРаботает на российских дистрибутивах Linux — Astra, «Альт», «Ред ОС»
Как получить BI.ZONE Triage
Решения центра мониторинга BI.ZONE
Видео
Практика проведения оценки на компрометацию (Compromise Assessment) Linux‑систем
SOC-Форум 2023
#мероприятия
Практика проведения оценки на компрометацию (Compromise Assessment) Linux‑систем
SOC-Форум 2023