Cyber Triage 3.15 发布,导入 Defender 遥测数据 + 更多 SOC 功能Cyber Triage 3.15 发布,导入 Defender 遥测数据 + 更多 SOC 功能
Cyber Triage 3.15 for Windows - 面向事件响应的数字取证软件
Digital Forensics Specialized For Incident Response
请访问原文链接:https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查
Cyber Triage 是一款自动化的数字取证与事件响应(DFIR)软件,旨在帮助安全运营中心(SOCs)、托管安全服务提供商(MSSPs)、顾问和执法机构快速调查网络入侵事件,如恶意软件、勒索软件和账户接管等。
Cyber Triage 3.15: 导入 Defender 遥测数据 + 更多 SOC 功能
2025 年 9 月 4 日
Cyber Triage 3.15 的重点是让 SOC 更高效:
- 直接导入 Defender 遥测数据,加快告警后的终端取证。
- 将结果推送到 DFIR IRIS,更快速地集中调查发现。
- 限制敏感事件的访问权限,仅限关键人员查看。
- 轻松更新服务器设置,无需重启。
使用 Defender EDR 遥测进行终端取证
在告警被确认有效后,SOC 团队需要在主机上进行终端取证,以了解告警发生前的情况。Windows Defender for Endpoint(以及其他 EDR)包含可能对调查至关重要的历史数据,但在 EDR 控制台中使用这些数据非常复杂。
现在 Cyber Triage 可以直接导入 Defender 数据,因此你可以结合采集的数据快速找到告警前发生的情况。
使用 Defender 导入功能后,SOC 团队在告警后的流程是:
- 告警取证:确认告警是否有效。
- 将数据导入 Cyber Triage:启动调查,并直接从 API 导入数据。
- 标准化:Cyber Triage 会自动将 Defender 数据映射到其调查数据模型。
- 评分:Cyber Triage 会自动分析工件,并将其标记为恶意或可疑。
- 辅助检查:分析人员在 Cyber Triage 中审查数据,以查找数据外泄、横向移动和其他远程访问形式。
下面的示例展示了从 Defender Hunt API 获取的某个进程。“Sources” 选项卡显示了数据来源:
该功能在 Cyber Triage 中默认未启用。请联系销售部门获取更多信息。
将结果推送到 DFIR IRIS
部分 DFIR 团队使用 DFIR IRIS 来管理案件。
它可以用于:
- 管理任务。
- 将调查结果与以往案件进行关联。
- 合并多个工具的结果,生成最终报告。
Cyber Triage 现在可以直接将结果推送到 DFIR IRIS。
结果会显示在:
- 事件时间线
- IOC
这能节省时间并减少错误,确保调查结果能快速集中给团队使用。
该功能在 Cyber Triage 中默认未启用。请联系销售部门获取更多信息。
限制事件访问权限
Cyber Triage 现在可以限制谁能查看敏感事件。
这在以下部署场景中非常重要:
- 企业
- 执法机构
在创建事件时,你可以选择允许所有人查看,也可以选择仅限有需要的人查看。
该功能在 Cyber Triage 中默认未启用。
更简便的服务器管理
在将 Cyber Triage Team Server 部署为 Windows 服务时,现在可以在无需重启的情况下进行更改。基于 Web 的管理界面已扩展,支持所有服务器设置。
因此,现在你只需使用浏览器连接,输入管理员凭证,就可以进行更改并查看状态。
尝试一下吧
Cyber Triage 3.15: Import Defender Telemetry + More SOC Features
Sep 04 2025
- 下载地址:https://sysin.org/blog/cybertriage-3/
更多:HTTP 协议与安全