Утилита BI.ZONE для сбора данных и проверки Linux-хостов
Компания BI.ZONE представила бесплатную утилиту BI.ZONE Triage для хостов Linux, которая применяется при расследовании инцидентов и поиске следов компрометации. Утилита не требует установки, позволяет собирать данные для анализа хоста, проверять хосты с помощью YARA-правил и находить заданные индикаторы компрометации. Утилита совместима с российскими дистрибутивами Linux: Astra Linux, «Альт» и РЕД ОС – и уже доступна на GitHub.
BI.ZONE Triage представляет собой бинарный файл, в котором упакован облегченный агент BI.ZONE EDR Linux. В нем отключена возможность централизованного управления и ограничены функции инвентаризации системы. В состав утилиты входит заранее подготовленный набор конфигурационных файлов, описывающих профили сбора информации.
С помощью параметров командной строки пользователь определяет набор данных, который нужно собрать, а также способы вывода этих данных. При необходимости можно задать параметры для YARA-сканирования хоста. В результате происходит распаковка и запуск облегченной версии BI.ZONE EDR Linux с конфигурационными файлами, которые соответствуют параметрам сбора информации и проверки, заданным пользователем.
BI.ZONE Triage собирает не вывод команд ОС, а обогащенные данные инвентаризации от собственных модулей сбора, преобразуемые в формат JSON. Результаты работы утилиты можно получить в консоль в виде файла или передать в систему управления событиями кибербезопасности, задав IP-адрес и порт назначения через параметры командной строки.
Как отмечают в BI.ZONE, при создании утилиты разработчики опирались на экспертизу компании и опыт расследования инцидентов и проведения оценок на компрометацию. За основу были взяты инвентаризационные возможности BI.ZONE EDR. Получившийся в результате инструмент сочетает в себе функции сбора данных для расследования и анализа и функции сканирования. Пользователи могут применять его как для самостоятельного исследования своих инфраструктур по собранным данным, так и выполнять проверки с помощью YARA-правил.
Полный список возможностей приложения можно найти на GitHub в сопроводительной документации.
В 2024 г. планируется выпустить версии BI.ZONE Triage для Windows и macOS.