Cyber Triage使用の流れ
Cyber Triageによるデータ取得〜調査は、基本的に4つのステップで行われます。
- ネットワーク経由、USB経由、またはS3にアーティファクトを送信するエージェントレス収集ツールを使用してデータ収集を行います。
- 脅威インテリジェンスを使用してアーティファクトを機械的に分析し、スコアリングします。ホスト間の関連性の分析も行われます。
- 分析者はアウトプットを確認し、状況に応じて深掘りを行います。
- ホストデータが追加で収集され、ケースに統合されます。
※ページ作成中です。3月上旬に作成完了の見込みです。製品の詳細についての案内を希望の方は、お気軽にお問い合わせください。
デモ動画
ライセンス一覧
Standard | Standard Pro | Team | |
---|---|---|---|
データ収集 | |||
揮発性データおよびファイルシステムデータの収集 | |||
USBへのデータ収集とUSBからのデータ収集 | |||
ネットワーク経由の収集 | |||
S3バケットへの収集 | |||
ディスクイメージの取り込み | |||
KAPE出力の取り込み | |||
論理ファイルの取り込み | |||
メモリイメージの取り込み(Volatility 2を使用) | |||
複数のファイルベースのコレクションをキューに入れる | |||
複数のネットワークベースコレクションのキューイング | |||
EDR導入のためのストリーミングインジェスト | |||
SIEMまたはSOARによるトリガー | |||
スコアリング | |||
ヒューリスティックによる不審なアイテムの特定 | |||
ReversingLabsを使用したマルウェアの検出 | |||
マルウェアスキャンの上限回数 | 5000/週 | 4000/日 | 4000/日 |
YARAルールによるファイル分析 | |||
許可リストによる既知アイテム非表示 | |||
悪性リストによるIOCへのフラグ | |||
複数のホストの同時解析 | |||
クライアント間での脅威インテリジェンスリスト の同期 | |||
レビュー | |||
手動によるスコアリング | |||
スコアリングに基づいた追加アイテムの推奨 | |||
収集データをピボットしを範囲選択 | |||
脅威のタイムライン表示 | |||
過去の収集データとの関連付けによるアイテムの共通性確認 | |||
インシデントごとでのホストのグループ化 | |||
チーム内でのコラボレーションとデータ共有 | |||
全ユーザーの過去の収集データと関連付けによるアイテムの共通性確認 | |||
レポート作成 | |||
HTML・Excel・CybOX形式によるレポート作成 | |||
SIEMにインポート可能なJSONレポートの作成 | |||
カスタムレポートのブランディング | |||
インフラストラクチャー | |||
REST APIによるSIEMやSOARとの統合 | |||
マルチユーザーデータベースへのデータ保存 | |||
Windowsサービスとしての実行 |