Представляем бесплатную утилиту для сбора данных и проверки Linux‑хостов

BI.ZONE Triage применяется при расследовании инцидентов и поиске следов компрометации. Утилита не требует установки, бесплатна и совместима с российскими дистрибутивами Linux: Astra Linux, «Альт» и «РЕД ОС»

14 ноября 2023 г.

BI.ZONE Triage позволяет собирать данные для анализа хоста, проверять хосты с помощью YARA‑правил и находить заданные индикаторы компрометации. Утилита уже доступна на GitHub, полный список возможностей можно найти в сопроводительной документации.

Создавая утилиту, мы опирались на нашу обширную экспертизу и опыт расследования инцидентов и проведения оценок на компрометацию. Мы взяли за основу инвентаризационные возможности нашего BI.ZONE EDR. В результате получился простой и удобный в использовании бесплатный инструмент. Он сочетает в себе функции сбора данных для расследования и анализа, а также функции сканирования. Пользователи могут как применять инструмент для самостоятельного исследования своих инфраструктур по собранным данным, так и выполнять проверки с помощью YARA‑правил. Мы же не собираемся останавливаться на выпуске утилиты, но планируем и в дальнейшем поддерживать комьюнити, рассказывая, как пользоваться инструментом, на примере задач из нашего опыта.

Теймур Хеирхабаров

Директор департамента мониторинга, реагирования и исследования киберугроз

BI.ZONE Triage представляет собой бинарный файл, в котором упакован облегченный агент BI.ZONE EDR Linux. В нем отключена возможность централизованного управления и ограничены функции инвентаризации системы. В состав утилиты входит заранее подготовленный набор конфигурационных файлов, описывающих профили сбора информации.

С помощью параметров командной строки пользователь определяет набор данных, которые нужно собрать, а также способы вывода этих данных. При необходимости можно задать параметры для YARA‑сканирования хоста. В результате происходят распаковка и запуск облегченной версии BI.ZONE EDR Linux с конфигурационными файлами, которые соответствуют параметрам сбора информации и проверки, заданным пользователем.

BI.ZONE Triage собирает не вывод команд операционной системы, а обогащенные данные инвентаризации от собственных модулей сбора, преобразуемые в формат JSON. Результаты работы утилиты можно получить на консоль в виде файла или передать в систему управления событиями кибербезопасности, задав IP‑адрес и порт назначения через параметры командной строки.

В 2024 году планируется выпуск версии BI.ZONE Triage для Windows и macOS.