Cyber Triage 3.16 发布 - 通过 Cyber Triage Enterprise 更快开展调查
Digital Forensics Specialized For Incident Response
请访问原文链接:https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查
Cyber Triage 是一款自动化的数字取证与事件响应(DFIR)软件,旨在帮助安全运营中心(SOCs)、托管安全服务提供商(MSSPs)、顾问和执法机构快速调查网络入侵事件,如恶意软件、勒索软件和账户接管等。
新增功能
2026 年 1 月 15 日
快速访问和分析数据对于高效调查至关重要,但 SOC 分析师和 IR 团队往往在这两件事上浪费大量时间。Cyber Triage 的 3.16 版本引入了Enterprise(企业级)层级,使调查人员能够更快速地访问并利用 SOC 中已有的数据。
调查需要数据
所有调查,无论是 SOC 分析师对单一主机进行初步研判,还是 DFIR 团队同时分析 30 台主机,都依赖于访问能够显示攻击者行为的数据。
调查人员面临两个问题:
- 访问现有数据孤岛中的数据。
- 在海量数据中分析并找到极小一部分关键证据。
SOC 需要访问的数据来源包括但不限于:
- 终端取证工件
- EDR 遥测数据
- SIEM 系统
调查人员往往难以将这些数据访问并整合到一个统一位置 (sysin),并从 99.99% 的异常活动中识别出那 0.01% 的真正证据。
调查平台
为了解决数据访问和分析问题,团队会使用调查平台,以确保调查过程快速且全面。
一个调查平台将:
- 从多种数据源导入数据;
- 分析数据并突出显示恶意和可疑工件;
- 提供建议,确保线索不会被遗漏;
- 以报告或其他结构化数据形式发布结果。
Cyber Triage Enterprise 就是一个调查平台。它确保所有数据都被纳入考量,并避免你手动审查海量数据所造成的时间浪费。
它通过将 Cyber Triage 集成到你现有的 SOC 基础设施中来实现这一点。
Enterprise 集成 Cyber Triage
Enterprise 层级将 Cyber Triage 集成到 SOC 的安全技术栈中。
Cyber Triage 的 Enterprise 层级包含所有可加速调查的标准功能,并额外提供:
- 导入遥测数据:你可以将 EDR 遥测数据加入调查中,并由 Cyber Triage 对其进行评分,以识别恶意和可疑行为。EDR 本身并不擅长发现诸如 “利用系统自带工具(living off the land)” 之类的可疑活动。该功能可显著加快调查速度 (sysin)。
- 发布结果:你可以将最终结果导出到案件管理系统或威胁情报平台,使 IOC 得以集中用于报告。这可以减少将调查发现记录到正式系统中的人为错误。
- 连接威胁情报(即将推出):你可以连接威胁情报系统,使 Cyber Triage 的评分能够使用你从其他情报源收集的 IOC,确保调查结果充分利用你现有的威胁情报投入。
通过 Enterprise,这些功能可添加到以下两种版本中:
- Standard Pro:Cyber Triage 的单用户桌面版本。Standard Pro 的 Enterprise 层级称为Standard Enterprise。
- Team:Cyber Triage 的多用户、自托管服务器版本。Team 的 Enterprise 层级称为Team Enterprise。
Enterprise 层级还为 Team 服务器增加了访问控制功能,使你可以限制不同调查人员对不同数据的访问权限。
下载地址
Cyber Triage 3.16: Investigate Faster with Cyber Triage Enterprise
January 15, 2026
- 请访问:https://sysin.org/blog/cybertriage-3/
更多:HTTP 协议与安全
