Phiên bản >>

Dùng thử >>

HDSD >>

Yêu cầu hệ thống >>

Xuất xứ >>

Mô tả: ​Cyber Triage là phần mềm Điều tra sự cố và điều tra kỹ thuật số (DFIR - Digital Forensics and Incident Response) tự động hóa, cho phép các chuyên gia an ninh mạng như bạn trả lời nhanh các câu hỏi xâm nhập liên quan đến phần mềm độc hại, phần mềm tống tiền và chiếm đoạt tài khoản. Dữ liệu dựa trên máy chủ, tính điểm, phân tích nâng cao và công cụ đề xuất đảm bảo việc điều tra của bạn diễn ra nhanh chóng và toàn diện.

Tổng quan về phần mềm

Cyber Triage

Công cụ pháp y kỹ thuật số duy nhất chuyên dùng để ứng phó sự cố

Hoàn thành các cuộc điều tra xâm nhập với tốc độ, độ chính xác và đơn giản

Người tiên phong trong việc chấm điểm tạo vật DFIR

Cyber Triage là công cụ DFIR duy nhất sẽ:

• Điểm tạo vật “Score artifacts” để đảm bảo bạn nhanh chóng tập trung vào dữ liệu có liên quan
• Quét các tệp thực thi với hơn 40 công cụ phát hiện phần mềm độc hại “Malware detection engine”
• Triển khai trong môi trường đầy thách thức nơi không thể sử dụng tác nhân “Agents”
• Đề xuất các tạo vật “Artifacts” để đảm bảo bạn theo dõi tất cả các khách hàng tiềm năng

SOC, MSSP, nhà tư vấn và cơ quan thực thi pháp luật đều sử dụng những tính năng này để trả lời các câu hỏi điều tra khó của họ, chẳng hạn như “Kẻ tấn công đã làm gì?” và “Làm sao họ vào được?”.

[Tạo phẩm hoặc Tạo vật “Artifact” là bất kỳ thứ gì được tạo ra để có thể phát triển một phần mềm. Nó có thể bao gồm các dữ liệu mô hình thứ cấp, sơ đồ, cài đặt lệnh – danh sách tiếp theo.

Hoàn thành điều tra của bạn nhanh hơn

Tốc độ là yếu tố quan trọng để đảm bảo bạn có được bằng chứng trước khi nó bị ghi đè và bạn giảm thiểu thiệt hại mà kẻ tấn công có thể gây ra.

Cyber Triage tối đa hóa thành phần l

ạ mỗi giây mà bạn xử lý bằng cách:

• Xác định các hiện vật có liên quan và hiển thị chúng trước tiên.
• Đề xuất các hiện vật để bạn nhanh chóng theo dõi mọi khách hàng tiềm năng.
• Tích hợp với SIEM để bộ sưu tập bắt đầu càng sớm càng tốt.

Tiến hành điều tra toàn diện hơn

Các cuộc điều tra cần phải toàn diện để hiểu toàn bộ phạm vi của vụ việc và loại bỏ các cơ chế dai dẳng.

Cyber Triage mang lại cho bạn nhiều thông tin bằng cách:

• Thu thập hàng chục loại hiện vật dựa trên nhiều kịch bản tấn công.
• Phân tích các tệp thực thi với hơn 40 công cụ quét phần mềm độc hại.
• Sử dụng thông tin tình báo về mối đe dọa để cập nhật các phương pháp thu thập và chẩn đoán.

Triển khai linh hoạt

Các cuộc điều tra sử dụng Cyber Triage có bốn bước cơ bản:

1. Dữ liệu được thu thập bằng cách sử dụng công cụ thu thập không cần tác nhân gửi các tạo phẩm qua mạng, tới USB hoặc S3.
2. Các hiện vật được phân tích và tính điểm bằng cách sử dụng thông tin về mối đe dọa. Mối tương quan được thực hiện giữa các máy chủ.
3. Người trả lời xem xét các hiện vật và tìm hiểu sâu hơn dựa trên những câu hỏi họ cần trả lời.
4. Các máy chủ bổ sung được thu thập từ và thêm vào sự cố.

Cyber Triage đã được thiết kế để hoạt động trong bất kỳ tình huống nào mà Người phản hồi đầu tiên trên mạng gặp phải. Nó có thể chạy trên máy tính xách tay, đám mây hoặc máy chủ tại chỗ.

Tại sao bạn nên dùng Cyber Triage?

Được xây dựng bởi các chuyên gia pháp y

Cyber Triage được thiết kế bởi nhóm pháp yBasis Technology do Tiến sĩ Brian Carrier đứng đầu, người cũng đã tạo ra Autopsy và The Sleuth Kit, các công cụ DFIR mã nguồn mở phổ biến.

Trong 15 năm qua, chúng tôi đã đổi mới để giúp Đội ngũ ứng phó sự cố mạng đầu tiên Cyber First Responders hoạt động hiệu quả hơn:

• Xây dựng công cụ DFIR toàn diện đầu tiên tập trung vào các hoạt động xâm nhập bao gồm các công cụ tính điểm và đề xuất để đảm bảo điều tra nhanh chóng với Cyber Triage.
• Xây dựng nền tảng pháp y kỹ thuật số có khả năng mở rộng nhất với hàng tá plugin để đảm bảo hàng chục nghìn người dùng trên khắp thế giới có thể sử dụng một công cụ duy nhất thay vì sao chép dữ liệu xung quanh Khám nghiệm tử thi.
• Đã xây dựng thư viện phân tích cú pháp hệ thống tệp tiêu chuẩn được sử dụng trong nhiều ứng dụng thương mại và nguồn mở để đảm bảo tất cả dữ liệu ổ đĩa có thể được đọc bằng Sleuth Kit.
• Học liên tục bằng kỹ thuật đảo ngược hình ảnh, ứng dụng điện thoại và tích hợp thuật toán học máy để đảm bảo mọi dữ liệu đều có thể truy cập được.
• Tạo lộ trình hướng đến khách hàng, kết hợp các yêu cầu hỗ trợ chức năng, quy trình công việc và trường hợp sử dụng để nhanh chóng triển khai và hoàn thành việc điều tra của bạn

Tính năng chi tiết, Giá bán và chính sách cấp bản quyền

(Lưu ý: Giá trên web có tính chất tham khảo, có thể tăng hoặc giảm so với hiện tại, Quý khách vui lòng liên hệ để có báo giá tốt nhất.)

Version

Standard

Standard Pro

Team

Annual Price

$2,500 USD

Liên hệ

Liên hệ

Malware Limits

1-2 hosts per week

Assumes 2,500 hash lookups per host

8-10 hosts per week

Assumes 2,500 hash lookups per host

8-10 hosts per week

Assumes 2,500 hash lookups per host

Run As

Desktop Application

Desktop Application

Server and Clients

Features

All Collection Methods

Automatic Artifact Scoring

Malware Lookup, Upload, and Sandbox

S3 Evidence Storage

Recommendation Engine

Unlimited Support

Bao gồm tất cả các tính năng của gói Standard cộng với:

Processing Queue

Queue up hosts to enable processing 24×7

Bao gồm tất cả các tính năng của gói Standard & Standard Pro cộng với:

Live Collaboration

Khả năng chia sẻ các sự cố hiện tại và quá khứ với đồng nghiệp và cộng tác trong thời gian thực

Performance

Xử lý song song nhiều máy chủ cùng một lúc

Integrations

REST API để tích hợp với EDR và ​​SIEM

Standard

Standard Pro

Team

Network- and S3-based collections

(Thu thập bằng chứng trên mạng và Amazon S3)

√

√

√

Artifact scoring and malware scanning

(Tính điểm tạo vật và quét phần mềm độc hại)

√

√

√

Recommendation engine

(Công cụ đề xuất)

√

√

√

Queue up and analyze multiple hosts at the same time

(Xếp hàng và phân tích nhiều máy chủ cùng một lúc)

×

√

√

Collaborate and share results within team in real time

(Cộng tác và chia sẻ kết quả trong nhóm theo thời gian thực)

×

×

√

REST API, SIEM, and EDR integrations

(Tích hợp REST API, SIEM và EDR)

×

×

√

Standard

Standard Pro

Team

Collection (Thu thập tạo vật)

Collects volatile and file system data

(Thu thập dữ liệu hệ thống tập tin và volatile)

√

√

√

Collect to and from USB

(Thu thập vào và từ USB)

√

√

√

Collect over the network

(Thu thập qua mạng)

√

√

√

Collect to S3 bucket

(Thu thập vào S3 bucket)

√

√

√

Imports disk images

(Nhập ảnh của ổ đĩa)

√

√

√

Imports KAPE output

(Nhập từ đầu ra KAPE)

√

√

√

Imports logical files

(Nhập từ tập tin logic)

√

√

√

Imports memory images (uses Volatility 2)

Nhập ảnh bộ nhớ (sử dụng Volatility 2))

√

√

√

Queue up multiple file-based collections

(Sắp xếp nhiều bộ sưu tập dữ liệu collector dựa trên tệp)

×

√

√

Queue up multiple network-based collections

(Sắp xếp nhiều bộ sưu tập dựa trên mạng)

×

×

√

Streaming ingest for EDR deployments

(Truyền trực tuyến để triển khai EDR)

×

×

√

Triggered by SIEM or SOAR

(Kích hoạt bởi SIEM hoặc SOAR)

×

×

√

Scoring (Chấm điểm rủi ro)

Uses dozens of heuristics to identify suspicious items

(Sử dụng hàng chục phương pháp phỏng đoán để xác định các mục đáng ngờ)

√

√

√

Detect malware using ReversingLabs

(Phát hiện phần mềm độc hại bằng ReversingLabs)

√

√

√

Malware scanning limits

(Giới hạn quét phần mềm độc hại)

5000/tuần

4000/ngày

4000/ngày

Analyzes files using Yara rules

(Phân tích tệp bằng quy tắc Yara)

√

√

√

Hides known good items with allow lists

(Ẩn các hạng mục an toàn đã biết với danh sách cho phép Allow lists)

√

√

√

Flags IOCs with bad lists

(Gắn cờ các IOC thuộc danh sách tình nghi Bad lists)

√

√

√

Analyzes several hosts simultaneously

(Phân tích một số máy chủ cùng một lúc)

×

√

√

Synchronize threat intelligence lists across all clients

(Đồng bộ hóa danh sách thông tin về mối đe dọa trên tất cả clients)

×

×

√

Review (Xem xét)

Manually score an item as good or bad

(Chấm điểm một mục theo cách thủ công là tốt hay xấu)

√

√

√

Recommends additional items based on scoring

(Đề xuất các mục bổ sung dựa trên điểm số)

√

√

√

Pivot through collected data to determine scope

(Xoay quanh dữ liệu được thu thập để xác định phạm vi)

√

√

√

View timeline of threats to get context

(Xem dòng thời gian của các mối đe dọa để có được bối cảnh)

√

√

√

Correlates with single user’s previous collection to determine how common item is

(Xem xét quan hệ tương quan với bộ sưu tập dữ liệu collector trước đó của một người dùng để xác định mức độ phổ biến của mục)

√

√

√

Groups hosts by incident for better reporting and correlation

(Nhóm các máy chủ theo sự cố để báo cáo và xem xét mối tương quan tốt hơn)

√

√

√

Collaborate and share data amongst the team

(Cộng tác và chia sẻ dữ liệu giữa các nhóm)

×

×

√

Correlates with all user’s previous collections to determine how common item is

(Tương quan với tất cả các bộ sưu tập trước đó của người dùng để xác định mức độ phổ biến của tạo vật)

×

×

√

Reporting (Báo cáo)

Generates HTML, Excel, and CybOX reports

(Tạo báo cáo định dạng HTML, Excel và CybOX)

√

√

√

Produces JSON report that can be imported into SIEMs

(Tạo báo cáo JSON có thể được nhập vào SIEM)

√

√

√

Custom report branding

(Xây dựng thương hiệu báo cáo tùy chỉnh)

√

√

√

Infrastructure (Tích hợp với hạ tầng quản lý mạng)

Integrates with SIEMs and orchestration tools using REST API

(Tích hợp với SIEM và các công cụ điều phối bằng API REST)

×

×

√

Stores data in a multi-user database

(Lưu trữ dữ liệu trong cơ sở dữ liệu nhiều người dùng)

×

×

√

Run as a windows service

(Chạy như một dịch vụ windows service)

×

×

√

Nguồn: https://www.cybertriage.com/