Бесплатная утилита BI.ZONE Triage позволяет собирать данные для анализа хоста, проверять хосты с помощью YARA-правил и находить заданные индикаторы компрометации. Утилита совместима с российскими дистрибутивами Linux: Astra Linux, «Альт» и «РЕД ОС», и уже доступна на GitHub.
BI.ZONE Triage применяется при расследовании инцидентов и поиске следов компрометации. Утилита не требует установки, позволяет собирать данные для анализа хоста, а также выполнять YARA-сканирование хостов и поиск индикаторов компрометации.
Полный список возможностей приложения можно найти на GitHub в сопроводительной документации.
Теймур Хеирхабаров, директор департамента BI.ZONE по мониторингу, реагированию и исследованию киберугроз, отметил: «Создавая утилиту, мы опирались на нашу обширную экспертизу и опыт расследования инцидентов и проведения оценок на компрометацию. Мы взяли за основу инвентаризационные возможности нашего BI.ZONE EDR. В результате получился простой и удобный в использовании бесплатный инструмент. Он сочетает в себе функции сбора данных для расследования и анализа, а также функции сканирования. Пользователи могут применять инструмент как для самостоятельного исследования своих инфраструктур по собранным данным, так и выполнять проверки с помощью YARA-правил. Мы же не собираемся останавливаться на выпуске утилиты, но планируем и в дальнейшем поддерживать комьюнити, рассказывая, как пользоваться инструментом на примере задач из нашего опыта».
BI.ZONE Triage представляет собой бинарный файл, в котором упакован облегченный агент BI.ZONE EDR Linux. В нем отключена возможность централизованного управления и ограничены функции инвентаризации системы. В состав утилиты входит заранее подготовленный набор конфигурационных файлов, описывающих профили сбора информации.
С помощью параметров командной строки пользователь определяет набор данных, который нужно собрать, а также способы вывода этих данных. При необходимости можно задать параметры для YARA-сканирования хоста. В результате происходит распаковка и запуск облегченной версии BI.ZONE EDR Linux с конфигурационными файлами, которые соответствуют параметрам сбора информации и проверки, заданным пользователем.
BI.ZONE Triage собирает не вывод команд операционной системы, а обогащенные данные инвентаризации от собственных модулей сбора, преобразуемые в формат JSON. Результаты работы утилиты можно получить в консоль в виде файла или передать в систему управления событиями кибербезопасности, задав IP-адрес и порт назначения через параметры командной строки.
В 2024 году планируется выпустить версии BI.ZONE Triage для Windows и macOS.