BI.ZONE Triage

Бесплатный инструмент для сбора данных, необходимых при расследовании инцидентов, оценке компрометации и проактивном поиске угроз

Скачать

Назначение

BI.ZONE Triage позволяет собирать данные для криминалистического анализа, находить индикаторы компрометации (IoC) и применять YARA‑правила для быстрого поиска аномалий. Инструмент создан на базе решения BI.ZONE EDR и не требует дополнительной установки. Скачать бесплатно можно на нашем GitHub

Возможности

Поддержка Linux и macOS систем
Сбор данных с хостов
Сканирование системы с помощью YARA‑правил
Поиск IoC
Выявление мисконфигураций
Сохранение данных в формате .json либо отправка по сети в систему управления событиями кибербезопасности
Архивирование собранных данных
Настройка ограничения по времени работы и потреблению ресурсов CPU

.card-4 { min-height: 0; } @media only screen and (min-width: 801px) and (max-width: 1280px) { .sm-grid-cols-1 { grid-template-columns: repeat(2,1fr); } }

Какие данные собираются

Текущая активность хоста:

запущенные процессы
активные сетевые подключения
открытые на прослушивание порты
открытые файлы
активные пользовательские сессии

Сведения об установленном ПО:

пакеты
модули Python, Ruby и NPM
подключенные репозитории для установки и обновления пакетов
поврежденные пакеты

Инвентаризация метаданных файлов в заданных каталогах:

файлы в автозагрузке
каталоги временных файлов
стандартные каталоги установки пакетов
каталоги, используемые атакующим или вредоносным ПО при закреплении
произвольные каталоги, заданные при запуске утилиты

Инвентаризация автозагрузки:

задачи cron
задачи at
systemd-сервисы
systemd-таймеры
модуля ядра
LD_PRELOAD
shell-скрипты (.bashrc, .bash_profile, и т. д.)

Сведения о пользователях и группах:

авторизованные SSH‑ключи
правила sudoers

Сведения о файловой системе хоста:

общие сетевые каталоги (NFS, Samba)
примонтированные носители

Сетевая конфигурация хоста:

сетевые интерфейсы
настройки DNS
записи в файле hosts
содержимое ARP-кеша
содержимое таблицы маршрутизации
правила штатного межсетевого экрана ОС

Сведения о контейнерах:

запущенные docker‑контейнеры
остановленные docker‑контейнеры
образы docker‑контейнеров
состояние docker‑демона
запущенные на хосте K8S‑поды

Исторические данные:

вводимые команды (.bash_history и т. п.)
попытки входа в систему (wtmp, btmp)

Сравнение с другими инструментами

	BI.ZONE Triage	Другие инструменты сбора данных	Другие инструменты сканирования
IoC-сканирование
YARA-сканирование
Автоматическое реагирование
Сбор данных
Собственная реализация сбора данных вместо использования встроенных утилит ОС
Использование кастомных сценариев сбора данных и проверки хостов
Отправка данных в систему управления событиями кибербезопасности
Приведение данных к единой таксономии
Поиск мисконфигураций
Ограничение времени работы и потребления ресурсов CPU

Преимущества

Разработан командой экспертов по threat hunting и реагированию на инциденты

Объединяет в себе возможности инструментов сбора и сканирования данных

Не требует установки

Содержит подробную документацию для начала работы

Собирает обогащенные данные инвентаризации от собственных модулей сбора, преобразуемые к формату .json

Работает на российских дистрибутивах Linux — Astra, «Альт», «Ред ОС»

.banner-line__content { min-height: 100%; } @media only screen and (min-width: 1279px) and (max-width: 1441px) { .banner-line__content { min-height: 234px; } } #block-14572 .external { padding-right: none; background-image: none; background-position: 0 0; background-repeat: none; background-size: 0 0; transition: background-image none; display: inline-flex; align-items: center; font-family: Normalidad,sans-serif; font-style: normal; font-weight: 400; font-size: 18px; line-height: 24px; color: #141a20; padding: 12px 20px; border-radius: 0; outline: none; -webkit-user-select: none; user-select: none; background: #fff; border: 1px solid #d5d9e0; cursor: pointer; transition: .15s; white-space: nowrap; text-decoration: none; }

Как получить BI.ZONE Triage