Redline

Réponse directe accélérée

Proposé gratuitement par FireEye, Redline® offre des fonctionnalités d'investigation sur l'hôte et d'analyse de la mémoire et des fichiers. L'objectif : identifier des signes d'activité malveillante et créer un profil diagnostic des menaces.

Avantages de Redline :

  • Audit et collecte minutieux de tous les pilotes et processus en cours d'exécution à partir de la mémoire, des métadonnées du système de fichiers, des données de registre, des journaux d'événements, des informations réseau, des services, des tâches et de l'historique Web
  • Analyse et consultation des données d'audit importées, avec notamment un filtrage des résultats sur une période donnée à l'aide de Redline Timeline et des fonctions TimeWrinkle™ et TimeCrunch™
  • Analyse rationalisée de la mémoire grâce à un workflow éprouvé d'analyse antimalware basé sur des priorités relatives
  • Analyse IOC grâce à Redline Portable Agent, fourni avec un ensemble d'indicateurs de compromission (IOC) et automatiquement configuré pour collecter les données nécessaires à cette analyse et à l'examen des résultats

De plus, les utilisateurs de FireEye Endpoint Threat Prevention Platform peuvent ouvrir les paquets de tri collectés directement dans Redline pour une analyse approfondie de la chronologie et de la portée de l'incident.

Télécharger Redline

Redline

Notes de version

Version actuelle : Redline 2.0
Date de sortie : 28 avril 2020

Redline 2.0 permet désormais de collecter des artéfacts d'investigation disponibles dans les environnements OS X et Linux. Redline procède également à l'importation et à l'analyse des alertes triées et des données issues de l'outil Audit Viewer de FireEye Endpoint Security.

  • Taille du fichier : 80 Mo
  • Hachages d'intégrité :
    • MD5 : 85508f2c168ea83a0809bdd5523916de
    • SHA-1 : 40258383c3ec02822d49aab798ed6a4c04ffe9ff

Version actuelle : Whitelist 1.0 pour Redline**
Date de sortie : 11 juillet 2012

  • Taille du fichier : 31,6 Mo
  • Hachages d'intégrité :
    • ZIP
      • MD5 : 0e8fdc80faffe72bb02799d6cdc75d0a
      • SHA-1 : 22eb80e40ea3a84b0ed3d821730485253ab31738
    • Fichiers extraits
      • MD5 : 8448C5E5D4F9273DFA15F00D708F9173
      • SHA-1 : F2A9E7A87BAB4AC41E893EB721739E41226D2BDC

La collecte de données peut être effectuée sur les systèmes d'exploitation suivants :

Windows OS X Linux

Windows 8

OS 10.9 (Mavericks)

RHEL 6.8-6.10, 7.1-7.6, 8

Windows 8.1 Mise à jour 1

OS 10.10 (Yosemite)

CentOS 6.8-6.10, 7.1-7.6

Windows 10

OS 10.11 (El Capitan)

 

Server 2008 R2

OS 10.12 (Sierra)

 

Server 2012, 2012 R2

OS 10.13 (High Sierra)

 

Server 2016

OS 10.14 (Mojave)

 

Server 2019

   

**Il s'agit d'un ensemble de hachages de fichiers exécutables courants (réputés fiables) que Redline 1.6 (et versions ultérieures) utilise pour écarter certaines entrées d'analyse de la mémoire. Il inclut des hachages réputés fiables de DLL et fichiers exécutables de Microsoft Windows Server Update Services et National Software Reference Library.

Redline ne comprend qu'une petite partie de ces hachages. Whitelist intègre pour sa part une liste plus complète.

Pour l'utiliser, téléchargez le fichier joint vers l'emplacement de votre choix sur l'hôte hébergeant Redline. Vérifiez les hachages MD5/SHA1 pour vous assurer de disposer du bon fichier. Démarrez Redline. Choisissez Options -> Whitelist Management, puis sélectionnez l'option d'importation d'une nouvelle liste blanche. Suivez la procédure pour remplacer l'ancienne liste blanche dans Redline. NB : l'ancienne liste blanche sera définitivement perdue. Si vous souhaitez enregistrer l'ancienne liste blanche, sélectionnez l'option correspondante sous Options -> Whitelist Management dans Redline.