Cyber Triage 3.16 发布 - 通过 Cyber Triage Enterprise 更快开展调查

Digital Forensics Specialized For Incident Response

请访问原文链接：https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查

Cyber Triage 是一款自动化的数字取证与事件响应（DFIR）软件，旨在帮助安全运营中心（SOCs）、托管安全服务提供商（MSSPs）、顾问和执法机构快速调查网络入侵事件，如恶意软件、勒索软件和账户接管等。

新增功能

2026 年 1 月 15 日

快速访问和分析数据对于高效调查至关重要，但 SOC 分析师和 IR 团队往往在这两件事上浪费大量时间。Cyber Triage 的 3.16 版本引入了Enterprise（企业级）层级，使调查人员能够更快速地访问并利用 SOC 中已有的数据。

调查需要数据

所有调查，无论是 SOC 分析师对单一主机进行初步研判，还是 DFIR 团队同时分析 30 台主机，都依赖于访问能够显示攻击者行为的数据。

调查人员面临两个问题：

1. 访问现有数据孤岛中的数据。
2. 在海量数据中分析并找到极小一部分关键证据。

SOC 需要访问的数据来源包括但不限于：

• 终端取证工件
• EDR 遥测数据
• SIEM 系统

调查人员往往难以将这些数据访问并整合到一个统一位置 (sysin)，并从 99.99% 的异常活动中识别出那 0.01% 的真正证据。

调查平台

为了解决数据访问和分析问题，团队会使用调查平台，以确保调查过程快速且全面。

一个调查平台将：

• 从多种数据源导入数据；
• 分析数据并突出显示恶意和可疑工件；
• 提供建议，确保线索不会被遗漏；
• 以报告或其他结构化数据形式发布结果。

Cyber Triage Enterprise 就是一个调查平台。它确保所有数据都被纳入考量，并避免你手动审查海量数据所造成的时间浪费。

它通过将 Cyber Triage 集成到你现有的 SOC 基础设施中来实现这一点。

Enterprise 集成 Cyber Triage

Enterprise 层级将 Cyber Triage 集成到 SOC 的安全技术栈中。

Cyber Triage 的 Enterprise 层级包含所有可加速调查的标准功能，并额外提供：

• 导入遥测数据：你可以将 EDR 遥测数据加入调查中，并由 Cyber Triage 对其进行评分，以识别恶意和可疑行为。EDR 本身并不擅长发现诸如 “利用系统自带工具（living off the land）” 之类的可疑活动。该功能可显著加快调查速度 (sysin)。
• 发布结果：你可以将最终结果导出到案件管理系统或威胁情报平台，使 IOC 得以集中用于报告。这可以减少将调查发现记录到正式系统中的人为错误。
• 连接威胁情报（即将推出）：你可以连接威胁情报系统，使 Cyber Triage 的评分能够使用你从其他情报源收集的 IOC，确保调查结果充分利用你现有的威胁情报投入。

通过 Enterprise，这些功能可添加到以下两种版本中：

• Standard Pro：Cyber Triage 的单用户桌面版本。Standard Pro 的 Enterprise 层级称为Standard Enterprise。
• Team：Cyber Triage 的多用户、自托管服务器版本。Team 的 Enterprise 层级称为Team Enterprise。

Enterprise 层级还为 Team 服务器增加了访问控制功能，使你可以限制不同调查人员对不同数据的访问权限。

下载地址

Cyber Triage 3.16: Investigate Faster with Cyber Triage Enterprise

January 15, 2026

• 请访问：https://sysin.org/blog/cybertriage-3/

更多：HTTP 协议与安全