Новая версия утилиты обладает теми же возможностями, что и версия для Linux, и может применяться при расследовании инцидентов и поиске следов компрометации. С помощью BI.ZONE Triage для macOS пользователи могут самостоятельно исследовать свои инфраструктуры и искать в них признаки компрометации на основе собранных данных, а также проверять заданные каталоги с помощью YARA-правил.
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE:
- Год назад мы представили для Linux бесплатный инструмент с функциями сбора данных с целью расследования и анализа, а также функциями сканирования. За основу мы взяли инвентаризационные возможности нашего BI.ZONE EDR. Опыт оказался удачным: прошедший год подтвердил, что утилита пользуется большим спросом со стороны комьюнити. Мы рады представить сегодня новую версию BI.ZONE Triage, которая сделает все те же функции доступными и на macOS.
BI.ZONE Triage для macOS представляет собой бинарный файл с облегченным агентом BI.ZONE EDR для macOS. В состав утилиты входит заранее подготовленный набор конфигурационных файлов, которые описывают профили сбора важной информации, необходимой для расследования инцидентов. При этом функции инвентаризации системы ограничены, а возможность централизованного управления полностью отключена.
Чтобы начать работу с утилитой, пользователь должен с помощью параметров командной строки определить, какие наборы данных необходимо собрать, а также указать способы вывода этих данных. Кроме того, можно задать параметры для YARA-сканирования хоста. После этого происходят распаковка и запуск облегченной версии B.ZONE EDR macOS с конфигурационными файлами, которые соответствуют заданным параметрам сбора информации и проверки.
BI.ZONE Triage собирает не вывод команд операционной системы, а обогащенные данные инвентаризации от собственных модулей сбора. Эти данные преобразуются в формат JSON. Результаты работы утилиты можно получить на консоль в виде файла или передать в систему управления событиями кибербезопасности. Для этого необходимо задать IP‑адрес и порт назначения через параметры командной строки.
Ранее компания BI.ZONE сообщала о появлении в BI.ZONE EDR двухфакторной аутентификации и ряда других функций, повышающих эффективность мониторинга угроз.