Endpointowy silnik DFIR triage i collection dla okien reakcji terenowej, które zamykają się w minutach, a nie godzinach
Sentinel Collector jest dwusystemowym silnikiem DFIR QuantixLabs dla Windows i Linux, łączącym shell case oparty o Tauri, runtime headless collection, parsowanie in-flight, baseline diff i tamper-evident evidence handling w jeden model dostarczenia gotowy do pracy offline.
Pięć warstw od shell operatora do raportowalnego outputu case
Udokumentowany runtime jest świadomie wąski: jedna pakowana dystrybucja, jeden pipeline collection, jawne fazy dowodowe i osobna granica wykonania dla connectorów spoza endpoint core.
Shell operatora
Desktopowy shell Tauri dostarcza live status collection, wybór modułów, podgląd case i ustawienia bez rozdzielania produktu na drugi backend.
Orkiestrator headless
Ten sam runtime pozostaje dostępny przez CLI i jawne tryby headless dla field kitów, automatyzacji i kontrolowanych, powtarzalnych procedur response.
Pipeline collection i parsingu
Dowody ulotne, artefakty dyskowe, snapshoty i parsery in-flight działają w określonej kolejności, tak aby responder widział uporządkowane findings jeszcze na miejscu.
Integrity vault
Manifesty SHA-256, rekordy chain_of_custody, opcjonalne podpisy Ed25519 i flow verify utrzymują provenance wewnątrz case directory, a nie w zewnętrznych notatkach.
Output i przekazanie
HTML, JSON, CSV, MISP, Sigma i opcjonalne archiwa kompresowane zamieniają surowe collection w pakiet gotowy do handoffu i dalszego przeglądu forensic.
Co produkt faktycznie obejmuje w obecnie udokumentowanym zakresie
Triage danych ulotnych
Procesy, open files, stan sieci, sesje, zmienne środowiskowe, clipboard i załadowane drivery są zbierane wcześnie, aby zachować dowody znikające jako pierwsze.
Artefakty dyskowe
EVTX, registry, prefetch, MFT, USN journal, SRUM, Jump Lists, artefakty browserowe, logi IIS, dane BitLocker, Linux triage i ślady persistence trafiają do struktury case.
Parsowanie in-flight
EVTX, registry, prefetch, raw MFT i Amcache są parsowane do uporządkowanego JSON i indeksów, aby operator nie czekał później na drugi toolchain.
Snapshot i baseline diff
Drzewo filesystemu, inventory software, reguły firewall i porównania do baseline dostarczają maszynowo czytelny dowód tego, co zmieniło się między stanem czystym a incydentem.
YARA i skanowanie heurystyczne
Skanowanie regułami i heurystykami obejmuje webshelle, lateral movement, ransomware, anti-forensics, exfiltration i ślady Docker w trybach zbierających artefakty.
Granica planowania connectorów
Zewnętrzne źródła dowodowe, takie jak collection logów Entra sign-in, są opisywane przez wersjonowane plany i oddzielne execution layers, a nie domyślnie mieszane z endpoint core.
Kontrole operacyjne, które czynią output obronnym i audytowalnym
External-media first
Domyślny model collection zapisuje output na czysty nośnik wymienny zamiast rozrzucać stan tymczasowy po hoście ofiary.
Audytowana granica degradacji
Gdy ścisły model evidence handling nie może być zachowany, tryb degraded wymaga jawnego override operatora i śladu w audycie zamiast cichego fallbacku.
Provenance wewnątrz case
Audit log, manifest hashy, rekordy binary integrity i chain of custody żyją wewnątrz struktury case, dzięki czemu provenance podróżuje razem z pakietem dowodowym.
Wbudowana weryfikacja
Flow verify ponownie hashuje zebrany materiał i waliduje podpisy, gdy są obecne, ograniczając zależność od improwizowanych kroków po zakończeniu collection.
Gdzie Sentinel Collector pasuje operacyjnie
Zaprojektowany pod pierwsze okno terenowe, w którym ważniejsze od deep-lab enrichment są dowody ulotne, standaryzacja case i natychmiastowy output parserów.
Wspiera warunki offline i air-gapped, w których narzędzia zależne od serwera albo collectorów chmurowych nie są akceptowalne.
Dostarcza artefakty handoff zgodne z chain-of-custody dla późniejszej analizy, raportowania, workflow ubezpieczeniowych i przeglądu dowodowego.
Standaryzuje powtarzalne host-side evidence collection na Windows i Linux bez wymagania, aby każdy responder utrzymywał własną bibliotekę skryptów.
Czym program świadomie nie próbuje być
To nie jest EDR
Produkt nie deklaruje ciągłej prewencji, agentowego blokowania ani cloud-native fleet telemetry jako swojej podstawowej wartości.
To nie jest SIEM
Nie jest pozycjonowany jako stała platforma agregacji logów z wielu hostów; jego środek ciężkości to endpoint triage i evidence packaging.
To nie jest pełne laboratorium forensic
Produkt przyspiesza collection i first-pass structuring, a następnie przekazuje output do głębszych platform forensic, procesów prawnych i długich dochodzeń.