通过 FTK Connect 实现取证工作流程自动化
运用行业领先的 Exterro FTK 解决方案的强大能力与高速性能,快速轻松地实现自动化,消除取证调查和事件响应工作流中的时间浪费。
无需复杂脚本,即可创建高效省时省费的自动化流程。
FTK Connect 使企业和执法机构能够轻松实现关键调查流程与任务的自动化加速。其极度简化的拖放式界面,让不同技能水平的用户都能通过简化工作流节省时间。
- 清理积压案件
FTK Connect 自动化流程将证据更快送达取证分析员手中,助力他们处理更多案件、减少案件积压。 - 保全证据
与入侵检测软件集成,实现从网络安全事件被侦测的第一时间起,就自动执行远程终端证据的即时收集。 - 立享高效
FTK Connect 专为非编程人员设计,用户可通过熟悉的拖放界面轻松为任何案件类型创建自动化流程------无需 API 或 Python 脚本语言!
通过取证工作流程自动化,消除手动操作
让 FTK Connect 处理繁琐任务,将调查人员的时间节省下来,用于他们最擅长的工作:取证分析与审查。自动执行诸如案件创建、证据处理等任务,以及后续的搜索结果标记、数据导出等步骤------全程无需人工干预。
通过自动化证据收集,将 FTK 解决方案与 SIEM 和 SOAR 平台无缝整合
通过与网络安全工具集成,编排您的事件响应工作流。一旦检测到入侵,立即自动收集并保全电子证据。FTK Connect 可根据 Palo Alto Networks 旗下的 Cortex XSOAR 等解决方案的触发信号,自动执行远程终端证据收集。
通过监控文件夹,自动化即时处理证据文件
使用 FTK Connect 自动化案件创建和证据处理,将等待任务完成的时间减半,让案件更快送达分析员。执法机构可配置 FTK Connect 监控文件目录,自动处理放入其中的任何取证镜像,随后按预配置搜索词检索案件、添加标签或书签,并导出结果文件。
更多自动化功能
- 创建自定义工作流
利用FTK Connect构建您自己的工作流,或与网络安全平台、案件管理系统、电子发现应用及其他可调用RESTful API的第三方软件工具集成。 - 自动化通知
让专家分析员专注核心工作。通过自动化处理状态更新,在任务完成时通过短信或邮件通知用户,随时掌握案件进展。 - 资源最大化利用
通过自动化让FTK在非工作时间持续工作。通过在正常工时之外利用现有硬件和软件投资,实现资源更优配置。 - 符合ISO标准
通过最小化人工处理数字证据环节,降低错误概率并增强证据可辩护性。一致可靠的自动化有助于维持ISO 27037、17020及17025认证标准的合规性。
FTK Connect 企业应用原理及案例分析
不断涌现的新型高级网络安全威胁利用多重攻击向量持续针对企业发起攻击。在此环境下,快速捕获证据并作出响应,成为及时修补漏洞、防范后续攻击的关键。分析师需要一种动态解决方案,以全面掌握服务器、关键系统及终端的状态,并能够主动搜寻威胁并快速响应。
通过 Palo Alto Networks 旗下的 Cortex XSOAR 平台与 Exterro FTK® Connect 自动化平台的集成,用户可以利用 Cortex XSOAR 的安全编排与自动化功能,触发 FTK Enterprise、FTK Central 或 FTK Lab 立即捕获并保存终端证据,这对于事件调查与恢复至关重要。
FTK Connect 可接收来自 Cortex XSOAR 的告警,并指示 FTK 工具在生成告警的终端上自动执行特定任务。例如,当 Cortex XSOAR 收到告警时,它会通过 FTK Connect API 发送指令,从而通过 FTK 远程代理在终端上启动 FTK Enterprise 收集或修复任务。通过保存与入侵根本原因相关的丰富取证数据,在事件响应的各个阶段(从分类调查到事后分析及全面恢复)节省时间。以合规、可验证的方式保存并提供入侵发生过程的可辩护证据,对于遵守法规标准、满足保险要求及证明合规性至关重要。
功能:
- 通过自动化指令或创建事件响应剧本,立即在指定终端启动数据收集。
- 使用统一的、后端安全的数据库,进行取证级数据收集,确保以法律可辩护的方式收集并保存证据,保障数据完整性。
- 依托 Cortex XSOAR 最大的 SOAR 产品集成生态系统,增强 Exterro 的入侵后分析与响应解决方案组合。
优势:
- 自动保存电子证据
- 无缝衔接事件检测、分析与响应,降低风险
- 自动化繁琐任务、耗时流程及调查工作流
产品兼容性:
- Cortex XSOAR Enterprise
- FTK Enterprise、FTK Central、FTK Lab及FTK Connect
案例 1:检测到数据外泄时的自动化进程列表收集
挑战:数据外泄或任何未经授权的数据转移是企业面临的真实威胁。这类数据入侵可能随时发生,因此安全运营中心(SOC)必须在检测到入侵后立即响应,保存与入侵根本原因相关的证据。关键是要减少平台间的数据移动,避免潜在的数据损毁。
解决方案:一旦从网络内部识别到潜在数据外泄,Cortex XSOAR 接收告警并自动触发 FTK Connect 的 RESTful API,立即捕获完整进程列表。该列表可识别可疑计算机上当前运行的所有进程及其关联的 DLL 文件。基于此,可识别未授权进程并调用 FTK Enterprise 自动修复。随后,FTK Enterprise 在指定终端启动自动任务收集。Cortex XSOAR 与 Exterro 的集成将这个通常需手动完成的耗时流程实现了自动化。
优势:Exterro 与 Cortex XSOAR 的无缝集成降低了风险,并在检测到内部入侵后加速调查,提供7×24小时实时证据收集与可审计的保存能力。
案例 2:检测到网络流量激增时的自动化内存转储
挑战:如需访问员工计算机调查潜在入侵,获取内存转储是调查关键。内存转储和/或整个驱动器扫描需立即执行,这可能发生在非工作时间,或跨国企业的其他时区。
解决方案:检测到内部事件后,Cortex XSOAR接收告警并向FTK Connect发送指令以启动内存转储收集。完成收集后,可继续调查并恢复保存的密码、开放网络连接或完整网页(此类数据可能仅存储在内存中,如Chrome无痕浏览页面)。
优势:通过自动化从受入侵终端获取内存转储,可在不惊动嫌疑人的情况下进行分析(即隐蔽采集)。若在事件发生后收集磁盘映像,调查人员可能无法分析内存缓存信息(具体取决于终端用户的操作)。
FTK Connect 执法机构应用介绍
自动化案件创建与数据处理,让您专注于证据审查并加速结案!
运用 FTK Connect 自动化处理案件创建与证据,将任务所需时间减半,案件得以更快送抵分析员,并在任务完成后自动通知调查人员。您甚至可以自动化后续步骤,如结果检索与标记、数据导出等------全程无需人工干预。凭借其极致简化的界面,各级技能水平的用户无需复杂脚本即可创建高效省时省费的自动化流程。
FTK Connect 替代人工处理繁琐任务,解放经验丰富的调查专家的时间,让他们专注于最擅长的工作:取证分析与审查。
核心功能:
轻松创建自动化流程
专为非编程人员设计,直观的拖放界面让各级用户都能轻松为任意案件类型创建自动化流程。仅需极少培训即可立享高效,无需任何编码或脚本专业知识。
自动化处理与审查
执法机构可配置 FTK Connect 监控文件夹或目录,自动处理放入其中的任何取证镜像。系统随后可搜索案件、添加标签或书签,并导出结果文件。
让 FTK 在非工作时间持续工作
多数机构难以负担配备尖端技术的取证实验室成本。通过在正常工时之外利用现有硬件与软件投资,实现资源更优配置。FTK Connect 自动化流程将证据更快送达取证分析员手中,助力处理更多案件、减少积压。
自动化通知
通过自动化处理状态更新,以短信或邮件通知审查员,让用户随时掌握案件进展。
符合 ISO 认证标准
通过最小化数字证据处理过程中的人工干预,降低错误概率并提升调查结论的可辩护性。一致、可重复、可靠的自动化流程有助于维持对 ISO 27037、17020 及 17025 等标准的合规性。
提升成本效益
消除因取证分析员无法及时执行后续步骤而导致的证据驱动器镜像处理延迟。自动化减少了对非技术人员手动执行基础任务(如创建案件或启动处理任务)的需求。
兼容性
面向执法机构的 FTK Connect 可与独立版 FTK Forensic Toolkit 无缝集成。对于 FTK Lab、FTK Enterprise 及 FTK Central 用户,另有功能完整的 FTK Connect 版本,包含针对事件响应与内部调查的增强自动化工作流,并支持与其他第三方平台集成。