17/02/25
В новой версии BI.ZONE EDR появилась возможность настраивать расписание задач. В агенте для Windows расширены возможности для построения сложных алгоритмов выявления угроз, а также внедрен графический интерфейс, упрощающий работу пользователя. В Linux-агенте добавилась функция мониторинга операций над объектами инвентаризации, возможность автономного реагирования, а также расширен механизм обогащения и сбора событий для выявления угроз в контейнерных средах Podman.
В обновленной версии BI.ZONE EDR появилась возможность настраивать расписание запуска задач. Повторяющиеся рутинные задачи (например, регулярное сканирование ОС YARA-правилами) теперь могут выполняться автоматически по заданному расписанию.
В версии BI.ZONE EDR для Windows появились новые функции, которые значительно расширяют возможности построения сложных алгоритмов для выявления вредоносного поведения на устройстве. Теперь можно динамически присваивать произвольные пользовательские атрибуты объектам процессов и файлов, а также гибко сохранять произвольные данные для дальнейшего обращения и работы с ними. Например, это позволяет «запоминать» текущее состояние отдельных атрибутов объектов операционной системы, чтобы в дальнейшем использовать эти данные в логике выявления угроз. Эти доработки помогают выстраивать более сложные детектирующие алгоритмы, в рамках которых необходима ретроспективная контекстная информация об исследуемых объектах, а также где необходима логика обнаружения, выстроенная на цепочках событий.
Теймур Хеирхабаров, руководитель департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE:
«В обновленной версии нашего EDR-решения мы расширили возможности детектирования сложных угроз на Windows, добавили интеграцию с контейнерными средами Podman, а также реализовали возможность автоматизации задач с помощью расписания. Эти нововведения помогут нашим клиентам усилить защиту своей инфраструктуры и упростить выполнение повседневных задач».
Среди ключевых изменений в версии BI.ZONE EDR для Linux стоит выделить мониторинг операций над объектами инвентаризации. Эта функция позволяет осуществлять непрерывный мониторинг изменений в критических объектах ОС. Кроме информации о процессе — инициаторе операции, будут доступны данные как о самом измененном объекте, так и о том, какие изменения были внесены, например информация о том, какой именно параметр был изменен в конфигурационном файле.
Кроме того, в новой версии продукта получили дальнейшее развитие возможности автономного реагирования на Linux. В рамках процесса реагирования пользователь может запустить любую произвольную команду, а также получить результат ее выполнения. Это позволяет не ограничиваться исключительно встроенным набором функций по реагированию, а при необходимости также использовать собственные скрипты, если этого требует специфика IT-инфраструктуры или процессов компании.
Для модуля Linux также была реализована поддержка контейнерного движка Podman. Это расширило возможности для управления событиями и их анализа в контейнерной среде. В частности, пользователям и администраторам стали доступны такие события, как инвентаризация запущенных и остановленных контейнеров, факт запуска или остановки контейнера, а также обогащение событий запусков процессов и обращений к файлам данными о контейнере. На данный момент в BI.ZONE EDR поддерживается мониторинг трех контейнерных движков: Docker, ContainerD, Podman.
Другими важными обновлениями BI.ZONE EDR являются новые события телеметрии и возможности их обогащения, графический интерфейс агента управления для Windows, который отображает перечень установленных модулей, связь с сервером, состояние самозащиты и сетевой изоляции, улучшения механизмов сбора телеметрии в Linux (сбор событий процессов через eBPF), а также улучшения в рамках производительности решения на Linux-платформах за счет внедрения механизмов кеширования и ряда оптимизаций механизмов сбора инвентаризационной информации.
Ранее эксперты BI.ZONE EDR представили исследование, согласно которому две трети хостов в российских компаниях имеют как минимум одну опасную мисконфигурацию, которая с высокой вероятностью может привести к успешной кибератаке. Чаще всего встречаются различные нарушения парольной политики.
