Cyber Triage 3.17 for Windows - 面向事件响应的数字取证软件

Cyber Triage 3.17 发布 - 使用生成式 AI 增强并生成 DFIR 数字痕迹报告

Cyber Triage 3.17 for Windows - 面向事件响应的数字取证软件

Digital Forensics Specialized For Incident Response

请访问原文链接：https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查

Cyber Triage 是一款自动化的数字取证与事件响应（DFIR）软件，旨在帮助安全运营中心（SOCs）、托管安全服务提供商（MSSPs）、顾问和执法机构快速调查网络入侵事件，如恶意软件、勒索软件和账户接管等。

新增功能

Cyber Triage 3.17: Use AI to Enrich and Report your DFIR Artifacts

Cyber Triage 3.17：使用 AI 增强并生成 DFIR 数字痕迹报告

2026 年 4 月 16 日

Cyber Triage 3.17.0 已发布，允许你将 AI 集成到调查过程中，从而更快得出结论。你现在可以使用 Claude 作为一个只读的 AI 助手，用于增强 Cyber Triage 的分析结果、生成报告以及发现新的线索。

这是我们首次将生成式 AI（GenAI）集成到 Cyber Triage 中。在本文中，我们将介绍 MCP Server 以及你可以利用它实现的功能。

通过 MCP 将 Claude Desktop 与 Cyber Triage 集成

此次 Cyber Triage 的核心新增功能是 MCP Server。它允许 MCP 客户端（例如 Claude Desktop）连接并查询数据。简单来说，可以将 MCP 理解为一个可供 LLM 调用以获取数据的 REST API。

数据流如下：你在本地计算机上运行 Claude Desktop 和 Cyber Triage，Claude Desktop 随后可以与 Anthropic 的服务器或 AWS / Azure / GCP 等平台上的 LLM 进行通信。

实际上，你可以使用任何 MCP 客户端，LLM 服务器也可以部署在任意位置。我们之所以重点介绍 Claude Desktop，是因为它目前最为流行。

与你的 DFIR 数据对话

完成连接后，你可以借助 LLM 的能力，加快调查速度：

• 与数据对话： 通过提问（而非编写查询语句），任何分析人员都可以像专家一样分析数据。
• 轻松增强发现结果： 使用 AI 为 Cyber Triage 的评分结果补充上下文信息，包括威胁情报和分析内容。
• 将结果转化为报告： 可快速从 Cyber Triage 的结果中生成时间线、执行摘要以及完整的调查报告。

例如，你可以让系统生成一份重要活动时间线：

或者生成入站和出站登录的网络拓扑图：

或者提出增强类问题，例如某个文件名是否常见：

DFIR + AI 使用注意事项

AI 有时表现惊艳，有时也会令人沮丧。我们正在以渐进且透明的方式，将生成式 AI 引入 Cyber Triage。

在本次版本中，需要注意以下几点：

• 评分机制： 我们未使用 GenAI 进行评分。仍然采用确定性方法来判断数字痕迹是否为恶意或可疑。
• 只读模式： Claude 无法更改 Cyber Triage 数据库中的任何数据，你无需担心其将“幻觉”写入数据集中。
• 由你主导： 是否使用 GenAI 完全由你决定，因此你始终清楚哪些内容是由 AI 生成的。
• 自带 AI（BYOAI）： 你使用的不是我们的模型，我们也不会看到你的数据。数据仅会发送到你已签署协议的服务端（Anthropic、云平台或内部环境）。

快速设置视频

我们提供了一段简短视频，展示如何完成设置并使用该功能。

面向所有用户的企业级功能

该功能原本属于 Cyber Triage 企业版的一部分，但我们将其开放给所有用户使用，截止日期为 2026 年 9 月 1 日。

生成式 AI 正在迅速发展，大家都在积极探索。我们希望鼓励大家尝试，并与你一同学习哪些提示词有效，哪些效果不佳。

立即体验

Cyber Triage 3.17: Use AI to Enrich and Report your DFIR Artifacts

Apr 16 2026

• 请访问：https://sysin.org/blog/cybertriage-3/

更多：HTTP 协议与安全