Redline

Réponse directe accélérée

Proposé gratuitement par FireEye, Redline® offre des fonctionnalités d'investigation sur l'hôte et d'analyse de la mémoire et des fichiers. L'objectif : identifier des signes d'activité malveillante et créer un profil diagnostic des menaces.

Avantages de Redline :

  • Audit et collecte minutieux de tous les pilotes et processus en cours d'exécution à partir de la mémoire, des métadonnées du système de fichiers, des données de registre, des journaux d'événements, des informations réseau, des services, des tâches et de l'historique Web
  • Analyse et consultation des données d'audit importées, avec notamment un filtrage des résultats sur une période donnée à l'aide de Redline Timeline et des fonctions TimeWrinkle™ et TimeCrunch™
  • Analyse rationalisée de la mémoire grâce à un workflow éprouvé d'analyse antimalware basé sur des priorités relatives
  • Identification des processus sur lesquels enquêter en priorité selon le score de risque Redline MRI (Malware Risk Index)
  • Analyse IOC — Grâce à Redline Portable Agent, fourni avec un ensemble d'indicateurs de compromission (IOC) et automatiquement configuré pour collecter les données nécessaires à cette analyse et à l'examen des résultats

De plus, les utilisateurs de FireEye Endpoint Threat Prevention Platform (série HX) peuvent ouvrir les paquets de tri collectés directement dans Redline pour une analyse approfondie de la chronologie et de la portée de l'incident.

Télécharger Redline

Redline

Notes de version

Version actuelle : Redline 1.14
Date de sortie : 12 juin 2015

Redline 1.14 inclut plusieurs améliorations réservées aux clients de la série HX. Cette version permet la visualisation et le filtrage des alertes à l'origine de la collecte d'un paquet de tri. Elle permet en outre d'analyser les événements de processus et d'activité des URL dès leur collecte dans la dernière version de HX.

  • Systèmes d'exploitation pris en charge : Windows XP, Windows Vista, Windows 7, Windows 8 (32 et 64 bits)
  • Taille du fichier : 66,94 Mo
  • Hachages d'intégrité :
    • MD5 : F51F458F7A69F9EF8FFEC9693A4444C5
    • SHA-1 : 60A972C62BF8AA6F33F133BDE5866A46F5164840

Version actuelle : Whitelist 1.0 pour Redline**
Date de sortie : 11 juillet 2012

  • Taille du fichier : 31,6 Mo
  • Hachages d'intégrité :
    • ZIP
      • MD5 : 0e8fdc80faffe72bb02799d6cdc75d0a
      • SHA-1 : 22eb80e40ea3a84b0ed3d821730485253ab31738
    • Fichiers extraits
      • MD5 : 8448C5E5D4F9273DFA15F00D708F9173
      • SHA-1 : F2A9E7A87BAB4AC41E893EB721739E41226D2BDC

** Il s'agit d'un ensemble de hachages de fichiers exécutables courants (réputés fiables) que Redline 1.6 (et versions ultérieures) utilise pour écarter certaines entrées d'analyse de la mémoire. Il inclut des hachages réputés fiables de DLL et fichiers exécutables de Microsoft Windows Server Update Services et National Software Reference Library.

Redline ne comprend qu'une petite partie de ces hachages. Whitelist intègre quant à lui une liste plus complète.

Pour l'utiliser, téléchargez le fichier joint vers l'emplacement de votre choix sur l'hôte hébergeant Redline. Vérifiez les hachages MD5/SHA1 pour vous assurer de disposer du bon fichier. Démarrez Redline. Choisissez Options -> Whitelist Management (Gestion de la liste blanche). Dans l'écran affiché, sélectionnez l'option d'importation d'une nouvelle liste blanche. Suivez la procédure pour remplacer l'ancienne liste blanche dans Redline. Notez que l'ancienne liste blanche sera définitivement perdue. Si vous souhaitez enregistrer l'ancienne liste blanche, sélectionnez l'option correspondante sous Options -> Whitelist Management dans Redline.