03/04/25
Новая функциональность значительно упрощает и ускоряет построение запросов. Кроме того, в версии для macOS добавлены новые события мониторинга и расширены возможности автономного реагирования, а также появилась поддержка движка контейнеризации Podman.
В версии 1.37 обновился раздел поиска по событиям телеметрии, которую собирают агенты EDR. Данные этого раздела применяются для анализа и расследования киберинцидентов, а также проактивного поиска по гипотезам в рамках threat hunting.
Кроме того, в разделе «События» появилась возможность сохранять поисковые запросы для дальнейшего переиспользования. Для удобства работы запросы можно распределять по папкам — в зависимости от проекта, типа киберинцидента и по другим критериям. Также предусмотрена возможность делиться с другими пользователями своими запросами — как предварительно сохраненными, так и без сохранения.
Теймур Хеирхабаров, руководитель департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE:
«Хранилище событий — один из важнейших компонентов современного EDR-решения, а его функциональные возможности по гибкому и удобному поиску напрямую влияют на скорость расследования и принятия решений аналитиками SOC. В новой версии нашего BI.ZONE EDR мы расширили набор функций по работе с событиями. А возможность сохранять поисковые запросы с распределением по папкам способствует не только экономии времени при повторном анализе, но и стандартизации подхода к расследованию инцидентов».
В версии BI.ZONE EDR для macOS добавилась функция мониторинга операции над объектами инвентаризации. Она позволяет осуществлять непрерывный мониторинг изменений в критических объектах ОС. Помимо информации о процессе, который выступил инициатором операции, будут доступны данные об измененном объекте и о том, какие именно изменения были внесены. Также на macOS получили дальнейшее развитие возможности автономного реагирования, благодаря которым пользователь может при необходимости дополнять встроенный набор функций собственными скриптами, запускать произвольные команды и получать результаты их выполнения. В предыдущем релизе BI.ZONE EDR такой набор функций стал доступен для Linux.
Помимо этого, в новой версии модуля macOS была реализована поддержка движка контейнеризации Podman, благодаря чему возможности по управлению событиями и их анализу в контейнерной среде стали значительно шире. Пользователям и администраторам теперь доступны такие события, как инвентаризация запущенных и остановленных контейнеров, факт запуска и остановки контейнера. Это расширяет возможности по работе с современными контейнеризационными решениями и повышает прозрачность происходящего в окружении разработчика, где применяется Podman.
На данный момент в BI.ZONE EDR поддерживается мониторинг трех контейнерных движков: Docker, ContainerD, Podman.
Чтобы поддерживать на сервере актуальную информацию об агентах и упростить администрирование, была добавлена возможность автоматического удаления EDR-агентов, которые не выходили на связь с сервером в течение заданного времени.
Другими важными обновлениями BI.ZONE EDR являются новые события телеметрии и возможности их обогащения, а также улучшение пользовательского интерфейса.
