THOR
APT Scanner
فعالیتهای پیشرفته هکرها را به صورت پیشگیرانه شناسایی کنید. نرخ شناسایی چشمگیر THOR در صنعت بهخوبی شناخته شده است.
تور (thor) پیشرفتهترین و انعطافپذیرترین ابزار ارزیابی آسیبپذیری در بازار است.
در تعاملات مربوط به پاسخ به حادثه، اغلب با گروهی از سیستمهای آسیبدیده و گروهی حتی بزرگتر از سیستمهایی که ممکن است تحت تأثیر قرار گرفته باشند، شروع میشود. تحلیل دستی تعداد زیادی تصاویر جرمشناسی میتواند چالشبرانگیز باشد.
تور (thor) فرآیند تحلیل جرمشناسی شما را با بیش از ۳۰,۰۰۰ امضای YARA دستساز، ۴,۰۰۰ قانون Sigma، قوانین متعدد تشخیص ناهنجاری و هزاران شاخص IOC سرعت میبخشد.
تور (thor) ابزاری ایدهآل برای شناسایی عناصر مشکوک، کاهش حجم کار و تسریع تحلیل جرمشناسی در لحظاتی است که دستیابی سریع به نتایج حیاتی است.
تمرکز بر فعالیتهای هکری
تور (THOR) بر هر آنچه آنتیویروسها نادیده میگیرند تمرکز دارد. با مجموعه عظیم امضاهای شامل هزاران قانون YARA و Sigma، شاخصهای IOC، بررسیهای روتکیت و ناهنجاری، THOR انواع تهدیدها را پوشش میدهد. تور (THOR) نه تنها درهای پشتی و ابزارهایی که مهاجمان استفاده میکنند را شناسایی میکند، بلکه خروجیها، فایلهای موقت، تغییرات در پیکربندی سیستم و سایر ردپاهای فعالیتهای مخرب را نیز شناسایی میکند.
استقرار انعطافپذیر
تور (THOR) نیازی به نصب ندارد. شما میتوانید به سادگی آن را به یک سیستم راه دور کپی کنید، از یک شبکه اشتراکی اجرا کنید یا آن را روی درایوهای USB که به سیستمهای آسیبدیده حمل میکنید، استفاده کنید. با این حال، میتوانید برای ارزیابی مداوم نفوذ، آن را با استفاده از عوامل ASGARD مستقر کنید.
نرخ تشخیص چشمگیر
نرخ تشخیص چشمگیر THOR در صنعت شناخته شده است و نیازهای شکارچیان تهدید در سراسر جهان را برآورده میکند. هزاران امضای عمومی، ناهنجاریها، تکنیکهای مبهمسازی و ویژگیهای مشکوک را شناسایی میکنند تا ارزیابی نفوذ را بهسرعت تسریع بخشند.
گزینههای خروجی متعدد
تور (THOR) از روشهای مختلفی برای گزارش یافتهها پشتیبانی میکند. این ابزار یک گزارش متنی ایجاد میکند یا پیامهای SYSLOG را به سیستمهای راه دور ارسال میکند (TCP، UDP، CEF، JSON، همراه با گزینه TLS). در پایان اسکن، یک گزارش HTML تولید میشود. شما میتوانید از برنامه رایگان Splunk یا ASGARD Analysis Cockpit برای تحلیل گزارشهای THOR از هزاران سیستم استفاده کنید.
شاخصهای سفارشی نفوذ (IOCها) و قوانین YARA
شما میتوانید بهراحتی شاخصها و امضاهای خود را از منابع تهدید، تحقیقات شخصی یا گزارشهای تهدید اضافه کنید.
گزینههای خروجی متعدد
تور (THOR) از روشهای مختلفی برای گزارش یافتهها پشتیبانی میکند. این ابزار یک گزارش متنی ایجاد میکند یا پیامهای SYSLOG را به یک سیستم راه دور ارسال میکند (TCP، UDP، CEF، JSON، با گزینه اختیاری TLS). در پایان اسکن، یک گزارش HTML تولید میشود. شما میتوانید از برنامه رایگان Splunk یا ASGARD Analysis Cockpit برای تحلیل گزارشهای THOR از هزاران سیستم استفاده کنید.
این یک عنوان است
برای تغییر این متن بر روی دکمه ویرایش کلیک کنید. لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است.
این یک عنوان است
برای تغییر این متن بر روی دکمه ویرایش کلیک کنید. لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است.
این یک عنوان است
برای تغییر این متن بر روی دکمه ویرایش کلیک کنید. لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است.
این یک عنوان است
برای تغییر این متن بر روی دکمه ویرایش کلیک کنید. لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است.
این یک عنوان است
برای تغییر این متن بر روی دکمه ویرایش کلیک کنید. لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است.
این یک عنوان است
برای تغییر این متن بر روی دکمه ویرایش کلیک کنید. لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است.
Use Cases
انعطافپذیری THOR بینظیر است. این ابزار میتواند بهصورت مستقل برای تریاژ، تحلیل فارنزیک زنده یا اسکن تصاویر در محیط آزمایشگاهی استفاده شود.
تور (THOR) ابزار ایدهآلی برای برجستهسازی عناصر مشکوک، کاهش حجم کاری و تسریع تحقیقات DFIR در لحظاتی است که دستیابی سریع به نتایج حیاتی است.
شاخصهای سفارشی و قوانین YARA
تور (THOR) از YARA بهعنوان فرمت اصلی امضای خود استفاده میکند. نحوه ادغام YARA در THOR کاملاً با امضاهای معمولی YARA سازگار است، اما THOR تطبیق استاندارد را گسترش داده تا امکان بررسیهای اضافی خاص فراهم شود.
شما میتوانید بهراحتی پایگاه داده یکپارچه را با قوانین و شاخصهای سازگاری (IOC) خودتان گسترش دهید. این کار تنها با قرار دادن قوانین در پوشه استاندارد امضاها امکانپذیر است.
مستندات راهنماییهای لازم را در مواردی که قصد استفاده از افزونههای خاص یا رمزنگاری امضاهای خود پیش از استقرار دارید، ارائه میدهد.
Multi-Platform
تور(THOR) بر روی تمام نسخههای فعلی و بسیاری از نسخههای قدیمی ویندوز، لینوکس و macOS اجرا میشود.
با این حال، با استفاده از THOR Thunderstorm میتوانید اسکنهای THOR را روی هر سیستمعاملی اجرا کنید. شما میتوانید سیستمهای زنده، تصاویر دیسک، یا شواهد خاص فارنزیک مانند فایلهای EVTX، حافظه دامپ شده یا بخشهای Registry را اسکن کنید.
تحلیل Eventlog، لاگهای رویداد محلی ویندوز را بررسی میکند، به دنبال شاخصهای سازگاری (IOCها) مانند شاخصهای فایل در ورودیها میگردد و قوانین سیگما را بر هر ورودی لاگ اعمال میکند.
ویژگیای به نام THOR Remote به شما اجازه میدهد تا چندین سیستمعامل انتهایی ویندوز را از یک ایستگاه کاری دارای دسترسی بالا اسکن کنید. این ویژگی را میتوان ترکیبی از PsExec با قدرت THOR در نظر گرفت.
ماژول Shim Cache محتوای AppCompatCache در سیستمهای ویندوز را تحلیل میکند، تمام شاخصهای سازگاری (IOC) مربوط به نام فایلها، قوانین ناهنجاری مبتنی بر Regex را اعمال میکند یا بهسادگی تمام ورودیها را برای بررسی شما نمایش میدهد. این ماژول به شما امکان میدهد تا برنامههای مخرب یا مشکوکی را شناسایی کنید که مهاجمان مدتها پیش از سیستم حذف کردهاند.
ایمپلنتهایی که توسط عاملان تهدید پیشرفته استفاده میشوند، با روشهای معمولی دشوارتر شناسایی میشوند و نیاز به تکنیکهای بازرسی پیچیدهتری دارند. THOR مجموعهای جامع از مقادیر مخرب Mutex، Named Pipe و Event دارد و هر مورد شناساییشده را با متادیتای مرتبط غنیسازی میکند تا تحلیلهای بعدی را تسهیل کند.
