Cyber Triage 3.14 发布，带来全新用户界面、Hayabusa 集成、基线设定等功能

Cyber Triage 3.14 for Windows - 面向事件响应的数字取证软件

Digital Forensics Specialized For Incident Response

请访问原文链接：https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查

Cyber Triage 是一款自动化的数字取证与事件响应（DFIR）软件，旨在帮助安全运营中心（SOCs）、托管安全服务提供商（MSSPs）、顾问和执法机构快速调查网络入侵事件，如恶意软件、勒索软件和账户接管等。

Cyber Triage 3.14 Release - Brings New UIs, Hayabusa, Baselining, and Much More

2025 年 5 月 5 日

Cyber Triage 3.14 版本现已发布，此次更新堪称重磅！

• 新增用户界面，助您快速了解主机情况。
• 集成 Hayabusa，以获取更多应用层评分和 Sigma 规则。
• 新增基线功能，可抑制来自黄金镜像的误报。
• 收集器更新 (sysin)，支持公钥加密。
• 评分机制变更，您现在可以将某些项目标记为 “未知”，而非 “正常”。
• 新增功能：可为旧事件设置参考日期。
• 标准专业版恶意软件扫描限制现改为每周限制，而非每日限制。

全新用户界面，助您更快上手

打开 Cyber Triage 中的主机时，您首先会看到的变化如下。我们将在下文描述部分变更内容，您也可以在 YouTube 上观看变更视频。

顶层导航

首先，新增了顶层导航：

这些选项代表了我们教授的调查执行阶段：

1. 摘要：获取被调查系统的基本概况。
2. 查看重要项目：查看 Cyber Triage 通过自动化分析管道评定为不良或可疑的项目。
3. 检查所有项目：深入查看所有收集到的工件。
4. 报告：为其他检查员或系统生成报告。

我们对部分视图进行了调整，使其按照我们期望您使用的顺序排列。从 “摘要” 开始，然后进入 “查看重要项目” 等。

MITRE ATT&CK 战术

在 “摘要” 部分，新增了一个视图，用于显示被评定为 “不良” 的项目，并按其 MITRE ATT&CK 映射进行组织 (sysin)。这将帮助您更轻松地识别攻击的哪些阶段已被发现。

例如，您可以查找 “数据窃取” 标题以查找相关迹象。

使用过滤器查看重要项目

端点分诊的第二个主要阶段是查看 Cyber Triage 自动评定为不良或可疑的项目。我们过去为此提供了两个视图（一个用于不良项目，一个用于可疑项目）。现在，我们将它们合并并按时间排序。

这一新视图使调查更加轻松，因为：

• 时间对于判断项目是否为误报至关重要。
• 我们添加了过滤功能，使您能够更轻松地关注或忽略特定类型的结果。

要访问过滤器，请使用左上角的按钮，这将允许您按评分、类型、日期等进行过滤。

摘要视图包含旧版仪表盘控件

如果您正在寻找过去在主机仪表盘上找到的某些控件，它们现在可能位于 “摘要” 面板上。

• 要重新启动恶意软件扫描，请转到 “摘要 / 分析任务”。
• 要查找收集错误，请转到 “摘要 / 数据问题”。
• 要查看文件是否已收集，请转到 “摘要 / 收集信息”。

Hayabusa 集成，用于应用层攻击和 Sigma 规则

Cyber Triage 现在将在收集的事件日志上运行 Hayabusa，以提供更广泛的应用层攻击检测覆盖范围 (sysin)。Hayabusa 附带了一套强大的规则，Cyber Triage 用户现在可以从中受益。

Hayabusa 将自动在所有传入数据上运行。您无需执行任何特殊操作即可启用它。

您还可以使用 Sigma 规则扩展 Hayabusa 的功能，这些规则随后将在事件日志上运行（但并非所有信息工件都适用）。

使用基线和黄金镜像减少误报

您现在可以配置 Cyber Triage 以了解您的黄金镜像，并将其用作基线。在这些镜像中发现的任何工件都不会被后续评定为不良或可疑。这将节省分析师的时间，因为他们无需手动将项目添加到 “正常列表” 中。

要将项目添加为基线：

1. 导入黄金镜像。
2. 转到选项面板并指定其为基线。

使用公钥加密收集器输出

Cyber Triage 收集器现在可以使用公钥加密来保护其输出。过去它支持密码保护，但这种方法容易出错且风险更高，因为密码必须在目标系统上提供。

现在，收集器可以加密数据，并且只有主 Cyber Triage 应用程序才能解密。

您可以从选项面板生成 RSA 密钥对。

新评分选项：未知

如果某个项目可能来自攻击者或正常系统活动，Cyber Triage 会将其评定为可疑。用户现在可以将正常活动标记为 “未知”，而非 “正常”。

将项目标记为 “未知” 仅表示它并非 Cyber Triage 最初认为的可疑项目，但最终可能因其他原因而可疑或不良。而将项目标记为 “正常” 则表示您知道它是正常的，并且永远不应被视为不良或可疑。

设置事件参考日期

在理想情况下，您会在事件发生后迅速从主机收集并分析数据。但有时，时间会过去数周。

如果发生这种情况，您现在可以在添加主机时设置参考日期 (sysin)。这将使基于时间的分析能够基于该过去日期进行。例如，它将关注您指定日期之前的 30 天，而非您收集数据之前的 30 天。

您可以在添加任何主机时指定此日期：

标准专业版恶意软件扫描限制现为每周限制

最后，我们始终希望确保您能够迅速完成调查，并且永远不必因达到恶意软件扫描限制而等待恢复。

标准专业版（这是具有批处理和更高恶意软件扫描限制的桌面版本）现在具有每周限制，而非每日限制。这意味着，如果您在一天内有很多案例，您可以在一天内全部使用完，而无需在 5 天内分散使用。

无需进行任何更改。Cyber Triage 将自动应用此更改。

尝试一下吧

Cyber Triage 3.14 Release - Brings New UIs, Hayabusa, Baselining, and Much More

May 5, 2025

• 下载地址：https://sysin.org/blog/cybertriage-3/

更多：HTTP 协议与安全