Бесплатная утилита BI.ZONE Triage теперь доступна на macOS
08/11/24
Среди ключевых функций утилиты — сбор данных для анализа хоста, проверка
хостов с помощью YARA‑правил, а также поиск заданных индикаторов
компрометации. BI.ZONE Triage для macOS не требует установки и уже
доступна на GitHub.
Новая версия утилиты обладает теми же возможностями, что и версия для Linux, и может применяться при расследовании инцидентов и поиске следов
компрометации. С помощью BI.ZONE Triage для macOS пользователи могут
самостоятельно исследовать свои инфраструктуры и искать в них признаки
компрометации на основе собранных данных, а также проверять заданные
каталоги с помощью YARA-правил.
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE:Год назад мы представили для Linux бесплатный инструмент с функциями сбора данных с целью расследования и анализа, а также функциями сканирования. За основу мы взяли инвентаризационные возможности нашего BI.ZONE EDR. Опыт оказался удачным: прошедший год подтвердил, что утилита пользуется большим спросом со стороны комьюнити. Мы рады представить сегодня новую версию BI.ZONE Triage, которая сделает все те же функции доступными и на macOS.
BI.ZONE Triage для macOS представляет собой бинарный файл с облегченным
агентом BI.ZONE EDR для macOS. В состав утилиты входит заранее
подготовленный набор конфигурационных файлов, которые описывают профили сбора важной информации, необходимой для расследования инцидентов. При этом функции инвентаризации системы ограничены, а возможность централизованного управления полностью отключена.
Чтобы начать работу с утилитой, пользователь должен с помощью параметров
командной строки определить, какие наборы данных необходимо собрать, а также указать способы вывода этих данных. Кроме того, можно задать параметры для YARA-сканирования хоста. После этого происходят распаковка и запуск облегченной версии B.ZONE EDR macOS с конфигурационными файлами, которые соответствуют заданным параметрам сбора информации и проверки.
BI.ZONE Triage собирает не вывод команд операционной системы, а обогащенные данные инвентаризации от собственных модулей сбора. Эти данные преобразуются в формат JSON. Результаты работы утилиты можно получить на консоль в виде файла или передать в систему управления событиями кибербезопасности. Для этого необходимо задать IP‑адрес и порт назначения через параметры командной строки.
Ранее компания BI.ZONE сообщала о появлении в BI.ZONE EDR двухфакторной
аутентификации и ряда других функций, повышающих эффективность мониторинга угроз.