Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Sandia National Laboratories ile işbirliği içinde, bugün otomatik dosya analizi ve sonuç toplama için tasarlanmış son derece ölçeklenebilir ve dağıtılmış bir platform olan Thorium’un halka açık olarak yayınlandığını duyurdu.
Yeni araç, karmaşık analiz iş akışlarını otomatikleştirerek ve çok çeşitli ticari, açık kaynaklı ve özel yapım araçları entegre ederek siber güvenlik ekiplerinin yeteneklerini önemli ölçüde artırmayı amaçlıyor.
Toryum, derinlemesine yazılım analizi, dijital adli tıp ve olay yanıtı dahil olmak üzere çeşitli kritik görev işlevlerini destekleyecek şekilde tasarlanmıştır.
Analistlere sofistike kötü amaçlı yazılım tehditlerini verimli bir şekilde değerlendirmek için birleşik bir sistem sağlar. Büyük miktarda dosyayı düzenli olarak analiz eden ekipler, ölçeklenebilir otomasyon ve dizin sonuçlarını uygulamak için toryumdan yararlanarak işlemlerini kolaylaştırabilir.
CISA, “Toryumun amacı, siber savunucuların basit araç entegrasyonu ve sezgisel olay odaklı tetikleyiciler yoluyla otomasyonu mevcut analiz iş akışlarına getirmelerini sağlamaktır” dedi.
Platformun temel özellikleri arasında kolay araç entegrasyonu kapasitesi, analistlerin komut satırı araçlarını Docker görüntüleri olarak dahil etmelerini içerir.
Ayrıca, etiketler ve tam metin aramaları aracılığıyla sonuçların güçlü filtrelenmesi sunar ve gönderimlere, araçlara ve sonuçlara erişimi kontrol eden katı grup tabanlı izinlerle güvenlik sağlar.
| Özellik | Tanım |
|---|---|
| Kolay Araç Entegrasyonu | Komut satırı araçlarını açık kaynak, ticari ve özel araçlar dahil olmak üzere Docker görüntüleri olarak entegre edin. |
| Filtreleme | Etiketler ve verimli veri işleme için tam metin arama kullanarak filtre analizi sonuçları. |
| Güvenlik | Gönderimlere, araçlara ve sonuçlara erişimi kontrol etmek için grup tabanlı izinleri uygulamak. |
| Ölçeklenebilirlik | Kubernetes ve Scylladb kullanarak yüksek iş yükü taleplerini destekler; Grup başına 10 milyondan fazla dosyayı/saati yutabilir. |
| Boru hattı | İş akışlarını otomatikleştirmek için olay tetikleyicilerini ve yürütme dizilerini tanımlayın. |
| İş akışı entegrasyonu | Platformu, kesintisiz iş akışı için RESTful API, Web Arayüzü veya Komut Satırı Yardımcı Programı aracılığıyla kontrol edin. |
| Sonuç toplama | Daha derin analizler ve aşağı akış işlemleri ile entegrasyon için agrega ve dizin alet çıkışları. |
| Araç paylaşımı | Siber savunma ekiplerinde paylaşmak için kolayca içe aktarın ve ihracat araçları. |
Toryumun en önemli özelliklerinden biri muazzam ölçeklenebilirliğidir. Kubernetes ve ScyLladb kullanarak donanım talepleriyle büyümek için üretilen platform, her izin grubu için saatte 10 milyondan fazla dosya alacak şekilde yapılandırılmıştır ve sonuçlar için hızlı sorgu performansını korurken saniyede 1.700’den fazla iş planlayabilir.
Platform, kullanıcıların tüm iş akışlarını otomatikleştirmek için olay tetikleyicilerini ve araç yürütme dizilerini tanımlamasına olanak tanır. RESTful bir API ile tamamen kontrol edilebilir ve kolay erişim için web tabanlı bir arayüz veya komut satırı yardımcı programı sunar.
Ayrıca, toryum toplama ve indeksler alet çıkışlarını, daha derin analizler için veya diğer aşağı akış işlemleri tarafından kullanılmak üzere hazırlar.
CISA tarafından vurgulanan örnek kullanım durumları, kötü amaçlı yazılımların statik ve dinamik analiz araçlarıyla tetiklenmesi, otomatik olarak e -postalar ve bellek görüntüleri gibi ev sahibi adli eserlerin işlenmesi ve kıyaslama veri kümelerindeki çeşitli araçların performans değerlendirmelerini yapmayı içerir.
CISA, siber güvenlik ekiplerini toryum benimsemeye teşvik ediyor. Platformun dağıtılması, bir Kubernetes kümesi, blok deposu ve nesne mağazası ve Docker kaplarına aşina olmasını gerektirir. Ajans, toryumun yeteneklerini daha da artırmak için kullanıcılardan aktif olarak geri bildirim arıyor.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches