BI.ZONE Triage

Репозиторий содержит BI.ZONE Triage — бесплатный инструмент для сбора данных, необходимых для проведения расследования инцидентов, оценки компрометации и проактивного поиска угроз. Инструмент создан на базе решения BI.ZONE EDR.

Последний релиз:

• BI.ZONE Triage (macOS) v1.3.0.1
• BI.ZONE Triage (Linux) v1.7.0.1-beta

Использование BI.ZONE Triage

Запуск BI.ZONE Triage возможен только с привилегиями root.

Примеры использования данных, собираемых BI.ZONE Triage, для проведения оценки на компрометацию вы можете получить из презентаций:

• Linux Compomise Assesment Practice
• MacOS Compomise Assesment Practice

Profiles и Presets

Для сбора данных используются Profiles и Presets. Каждый Profile включают в себя набор данных операционной системы, сгруппированных по смыслу. Каждый Preset включает набор определенных Profiles. Посмотреть список Profiles и Presets:

sudo ./bz_triage -p=list

Необходимые для сбора Profiles перечисляются через запятую. Для исключения определенного Profile из Preset он указывается с префиксом -. Presets с префиксом - не используются.

Пример:

sudo ./bz_triage -p=all,-packages

Подробнее о Profiles и Presets см. в документации на странице Wiki: Linux или MacOS.

Инвентаризация файлов в указанной директории

Инвентаризация файлов в указанной директории производится с помощью команды:

sudo ./bz_triage --customdir=/usr/* --customdirdepth=5

Где:

• --customdir: путь или список путей для инвентаризации с указанием через wildcard файлов;
• --customdirdepth: глубина рекурсии при инвентаризации (по-умолчанию составляет 3).

Использование Wildcard

При указании wildcard допускается использовать следующие символы:

• * — для замены нескольких символов (в том числе 0);
• ** — в конце пути для рекурсивного поиска при инвентаризации;
• ? — для замены одного символа.

Примеры

Инвентаризация файлов без рекурсии:

sudo ./bz_triage --customdir=/home/testuser*

Инвентаризация файлов с глубиной рекурсии по-умолчанию:

sudo ./bz_triage --customdir=/home/testuser**

Инвентаризация файлов по списку директорий c глубиной рекурсии 4:

sudo ./bz_triage --customdir=/home/somuser/dirs.txt --customdirdepth=4

Пример dirs.txt:

/home/*/Downloads/**
/etc/**/*.conf
/home/**/samp??.pdf

Использование сканера YARA

Комбинация ключей YARA для сканирования:

• --yararules и --yaradir для сканирования указанной директории или списка директорий (используется без wildcard).

В --yararules можно передать список фидов YARA для сканирования, для этого укажите путь к директории с фидами. Кроме фидов в указанной директории не должно быть других файлов, иначе сканер не сможет корректно вычитать наборы правил. При ошибках в синтаксисе любого из правил, все передаваемые правила будут проигнорированы.

Используйте ключ --yaradirdepth для указания глубины рекурсии. По-умолчанию глубина рекурсии 3.

Для Linux дополнительно доступны следующие комбинации ключей:

• --yararules и --yarapid для сканирования памяти и файлов процессов по PID. PIDs перечисляются через запятую, либо используется значение all для сканирования всех процессов;
• --yararules и --yarapname для сканирования памяти и файлов процессов по имени или его вхождению. Для поска по вхождению используйте символ * в начале или конце указанной строки. Имена или строки для поиска вхождения можно перечислить через запятую;
• --yararules и -p yarascan для сканирования важных областей операционной системы.

Примеры использования YARA

Сканирование директории:

sudo ./bz_triage --yararules=./myrules.yar --yaradir=/tmp --yaradirdepth=5

Сканирование списка путей по набору фидов:

sudo ./bz_triage --yararules=./yararules/ --yaradir=/home/testuser/dirspaths.txt

Файл dirspaths.txt:

/home/testuser/Downloads
/var/spool
/home/testuser/somefolder/sample.pdf

Сохранение результатов работы

Если способ сохранения не указан, результаты работы BI.ZONE Triage сохраняются в текущую директорию в виде набора файлов JSON сгруппированных по Profiles.

Варианты сохранения результатов работы:

1. Локальное сохранение в архив:

sudo ./bz_triage -p=all -o=./outdir/ -z --zipname=results.zip --zippwd=somepassword

Атрибуты --zipname и --zippwd опциональны. Если имя архива не указано, оно генерируется автоматически.

2. Вывод в STDOUT:

sudo ./bz_triage -p=users --stdout 2>/dev/null

3. Отправка по сети в систему управления событиями кибербезопасности:

sudo ./bz_triage -p=investigation,containers --dsthost=10.10.10.10 --dstport=5000 --netproto=tcp

4. Локальное сохранение в файлы JSON:

sudo ./bz_triage -p=investigation,containers -o=/home/testuser

Если указать несколько вариантов сохранения, используется наиболее приоритетный способ согласно указанному выше порядку.

Ограничения BI.ZONE Triage

Ограничения при файловой инвентаризации

Ограничение при инвентаризации важных областей операционной системы

• в инвентаризацию попадают только файлы размером до 50Мб (файлы процессов без ограничений по размеру);
• в директориях Downloads и tmp инвентаризация ограничена по 2500 файлами;
• используемые методы хеширования: md5 и sha256;
• глубина рекурсии по умолчанию 3.

Ограничения при инвентаризации указанной директории

• в инвентаризацию попадают только файлы размером до 50Мб;
• используемые методы хеширования: md5 и sha256;
• глубина рекурсии по умолчанию 3.

Ограничения сканера YARA

• сканируются только файлы размером до 100Мб;
• сканирование файла прерывается, если оно занимает более 20 секунд;
• относительные пути для аргумента --yaradir не поддерживаются.

Cсылки

BI.ZONE EDR

Примеры собираемых данных *nix

Примеры собираемых данных macOS

Wiki с описанием структуры собираемых данных

Сообщить об ошибках и пожеланиях к функционалу BI.ZONE Triage