Обзор BI.ZONE EDR 1.35, системы защиты конечных точек от сложных киберугроз
Anti-Malware.ru |
BI.ZONE EDR
Решение для защиты конечных точек от сложных угроз
19 ноября, 11:00
Нет инцидента — нет проблем
Как BI.ZONE EDR помогает предупреждать угрозы
Назначение
Решения класса EDR
85%
угроз проявляют себя на конечных точках
6 из 10
самых популярных инструментов для атак в 2023 году — легитимные
25 дней
среднее время обнаружения атакующих в инфраструктуре без средства мониторинга и реагирования
Узнайте больше о BI.ZONE EDR
BI.ZONE EDR обнаруживает угрозы на ранних этапах и предоставляет инструменты для активного ручного или автоматического реагирования
Выявление сложных атак на ранних этапах
Разнообразие технологий детектирования и большая библиотека правил автоматического обнаружения угроз позволяют на ранних этапах выявлять атаки любой сложности, которые обходят классические превентивные СЗИ
Увеличение прозрачности конечных точек
Решение фиксирует все происходящее на конечных точках в реальном времени, что позволяет провести реагирование и проследить всю цепочку атаки
Повышение эффективности реагирования
Множество встроенных инструментов позволяет реагировать на инциденты вручную, автоматизированно и автоматически. Это сокращает время и стоимость реагирования, позволяет быстро остановить атакующего
Обеспечение проактивного поиска угроз
Интерфейс поиска в едином хранилище телеметрии дает возможность ретроспективного исследования событий для threat hunting — выявления неизвестных угроз, невидимых для правил автоматического обнаружения
Обнаружение недостатков конфигурации
Непрерывное выявление на хостах ПО с небезопасными настройками или уязвимостями, которые активно используют киберпреступники
Возможности
Мониторинг инфраструктуры
- Обработка более 200 типов событий мониторинга и инвентаризации
- Гибкое обогащение телеметрии всем необходимым контекстом для взвешенного принятия решений, например информацией о контейнерах
- Тонкое управление политикой сбора телеметрии, в том числе для высоконагруженных систем
- Обогащение событий данными киберразведки с помощью портала BI.ZONE Threat Intelligence
Все собранные данные используются для проактивного поиска угроз (threat hunting)
Обнаружение угроз
- Автоматизированное выявление угроз на базе IoC
, поведенческих IoA и YARA‑правил - Сопоставление найденного с матрицей MITRE ATT&CK
- Функционирование и при недоступности сервера
- Возможность создания пользовательских правил обнаружения
- Модуль Deception для более эффективного детектирования угроз
- Выявление критичных недостатков конфигурации инфраструктуры
Реагирование на инциденты
- Интерактивная консоль с заданным хостом для реагирования в реальном времени
- Автоматизированное реагирование, не зависящее от связи с сервером
- Библиотека готовых популярных задач реагирования
- Сдерживание активного инцидента: завершение подозрительных процессов, сетевая изоляция хостов
- Устранение последствий инцидента: удаление файлов, записей автозапуска и иных следов вредоносной активности
- Сбор данных для расследования
- Запуск программ и скриптов для задач реагирования
- Ретроспективный анализ телеметрии
- Разработка правил автоматической блокировки угроз и многошаговых задач по реагированию (плейбуки)
Схема работы
Личный кабинет
Уровни технической поддержки
| StandardStandard |
12 обращений в год, прием обращений по почте и телефону. Входит в стоимость лицензии
|
| SilverSilver |
24 обращения в год, работа над критичными инцидентами 24/7, удаленное подключение к реагированию на инциденты
|
| GoldGold |
Неограниченное количество обращений, получающих высший приоритет, 12 запросов в год на адаптацию экспертных данных
|
| PlatinumPlatinum |
Неограниченное количество обращений, получающих высший приоритет, 24 запроса в год на адаптацию экспертных данных
|
Преимущества
Собственный агент для всех ОС, позволяющий генерировать телеметрию без сторонних решений
Библиотека готовых профилей сбора телеметрии для быстрого начала работы
Возможность адаптации этих профилей под особенности любых инфраструктур и систем, в том числе высоконагруженных
Интерактивная консоль с заданным хостом для реагирования в реальном времени
Выявление не только атак, но и недостатков системы, которые могут привести к ним
Экспертный опыт специалистов всех сервисов по обнаружению угроз от BI.ZONE в одном продукте
Экономия ресурсов с сервисами BI.ZONE
Эффективность BI.ZONE EDR напрямую зависит от навыков и опыта сотрудников подразделений кибербезопасности, которые используют этот продукт. Чтобы выявлять сложные киберинциденты и реагировать на них, а также заниматься проактивным поиском угроз, нужны компетентные в этих областях специалисты.
Вы можете сэкономить ресурсы на найме таких сотрудников, подключив BI.ZONE TDR — экспертный сервис для мониторинга инфраструктуры и реагирования на киберугрозы
Вы можете сэкономить ресурсы на найме таких сотрудников, подключив BI.ZONE TDR — экспертный сервис для мониторинга инфраструктуры и реагирования на киберугрозы
Сертификаты
Решение BI.ZONE EDR включено в реестр отечественного ПО
Наши проекты
Как попробовать
-
Продемонстрируем возможности решения и ответим на ваши вопросы
-
Проведем пилотирование на фрагменте вашей инфраструктуры
Вам также может подойти
BI.ZONE EDR доступен в составе центров мониторинга
Выявление сложных атак на ранних этапах
Разнообразие технологий детектирования и большая библиотека правил автоматического обнаружения угроз позволяют на ранних этапах выявлять атаки любой сложности, которые обходят классические превентивные СЗИ
Увеличение прозрачности конечных точек
Решение фиксирует все происходящее на конечных точках в реальном времени, что позволяет провести реагирование и проследить всю цепочку атаки
Повышение эффективности реагирования
Множество встроенных инструментов позволяет реагировать на инциденты вручную, автоматизированно и автоматически. Это сокращает время и стоимость реагирования, позволяет быстро остановить атакующего
Обеспечение проактивного поиска угроз
Интерфейс поиска в едином хранилище телеметрии дает возможность ретроспективного исследования событий для threat hunting — выявления неизвестных угроз, невидимых для правил автоматического обнаружения
Обнаружение недостатков конфигурации
Непрерывное выявление на хостах ПО с небезопасными настройками или уязвимостями, которые активно используют киберпреступники
Возможности
Минимизация использования сторонних средств мониторинга и реагирования
Усиление собственного сервиса для проактивной защиты
Работа на всех популярных ОС: Windows, Linux (включая российские дистрибутивы), macOS
Гибкая интеграция с используемыми решениями кибербазопасности
Гибкость конфигурирования собираемой телеметрии и правил обнаружения
Легкая масштабируемость и адаптация под специфические требования клиента
Схема работы
Личный кабинет
Уровни технической поддержки
| StandardStandard |
12 обращений в год, прием обращений по почте и телефону. Входит в стоимость лицензии
|
| SilverSilver |
24 обращения в год, работа над критичными инцидентами 24/7, удаленное подключение к реагированию на инциденты
|
| GoldGold |
Неограниченное количество обращений, получающих высший приоритет, 12 запросов в год на адаптацию экспертных данных
|
| PlatinumPlatinum |
Неограниченное количество обращений, получающих высший приоритет, 24 запроса в год на адаптацию экспертных данных
|
Преимущества
Легкая масштабируемость и быстрый старт
Готовые библиотеки задач для автоматического реагирования
Настройка политики для сбора данных, в том числе профили сбора телеметрии для высоконагруженных систем
Подробное описание детектирующей логики с возможностью ее редактирования
Централизованное управление, в том числе через UI или по API
Гибкая схема тарификации
Экономия ресурсов с сервисами BI.ZONE
Эффективность BI.ZONE EDR напрямую зависит от навыков и опыта сотрудников подразделений кибербезопасности, которые используют этот продукт. Чтобы выявлять сложные киберинциденты и реагировать на них, а также заниматься проактивным поиском угроз, нужны компетентные в этих областях специалисты.
Вы можете сэкономить ресурсы на найме таких сотрудников, подключив BI.ZONE TDR — экспертный сервис для мониторинга инфраструктуры и реагирования на киберугрозы
Вы можете сэкономить ресурсы на найме таких сотрудников, подключив BI.ZONE TDR — экспертный сервис для мониторинга инфраструктуры и реагирования на киберугрозы
Сертификаты
Решение BI.ZONE EDR включено в реестр отечественного ПО
Наши проекты
Как попробовать
-
Продемонстрируем возможности решения и ответим на ваши вопросы
-
Проведем пилотирование на фрагменте вашей инфраструктуры
Вам также может подойти
Назначение
Решения класса EDR
85%
угроз проявляют себя на конечных точках
6 из 10
самых популярных инструментов для атак в 2023 году — легитимные
25 дней
среднее время обнаружения атакующих в инфраструктуре без средства мониторинга и реагирования
Выявление сложных атак на ранних этапах
Разнообразие технологий детектирования и большая библиотека правил автоматического обнаружения угроз позволяют на ранних этапах выявлять атаки любой сложности, которые обходят классические превентивные СЗИ
Увеличение прозрачности конечных точек
Решение фиксирует все происходящее на конечных точках в реальном времени, что позволяет проводить реагирование и проследить всю цепочку атаки
Повышение эффективности реагирования
Множество встроенных инструментов позволяет реагировать на инциденты вручную, автоматизированно и автоматически. Это сокращает время и стоимость реагирования, позволяет быстро остановить атакующего
Обеспечение проактивного поиска угроз
Интерфейс поиска в едином хранилище телеметрии дает возможность ретроспективного исследования событий для threat hunting — выявления неизвестных угроз, невидимых для правил автоматического обнаружения
Обнаружение недостатков конфигурации
Непрерывное выявление на хостах ПО с небезопасными настройками или уязвимостями, которые активно используют киберпреступники
Возможности
Мониторинг инфраструктуры
- Обработка более 200 типов событий мониторинга и инвентаризации
- Гибкое обогащение телеметрии всем необходимым контекстом для взвешенного принятия решений, например информацией о контейнерах
- Тонкое управление политикой сбора телеметрии, в том числе для высоконагруженных систем
- Обогащение событий данными киберразведки с помощью портала BI.ZONE Threat Intelligence
Все собранные данные используются для проактивного поиска угроз (threat hunting)
Обнаружение угроз
- Автоматизированное выявление угроз на базе IoC
, поведенческих IoA и YARA‑правил - Сопоставление найденного с матрицей MITRE ATT&CK
- Функционирование и при недоступности сервера
- Возможность создания пользовательских правил обнаружения
- Модуль Deception для более эффективного детектирования угроз
- Выявление критичных недостатков конфигурации инфраструктуры
Реагирование на инциденты
- Интерактивная консоль с заданным хостом для реагирования в реальном времени
- Автоматизированное реагирование, не зависящее от связи с сервером
- Библиотека готовых популярных задач реагирования
- Сдерживание активного инцидента: завершение подозрительных процессов, сетевая изоляция хостов
- Устранение последствий инцидента: удаление файлов, записей автозапуска и иных следов вредоносной активности
- Сбор данных для расследования
- Запуск программ и скриптов для задач реагирования
- Ретроспективный анализ телеметрии
- Разработка правил автоматической блокировки угроз и многошаговых задач по реагированию (плейбуки)
Схема работы
Личный кабинет
Преимущества
Собственный агент для всех ОС, позволяющий генерировать телеметрию без сторонних решений
Библиотека готовых профилей сбора телеметрии для быстрого начала работы
Возможность адаптации этих профилей под особенности любых инфраструктур и систем, в том числе высоконагруженных
Интерактивная консоль с заданным хостом для реагирования в реальном времени
Выявление не только атак, но и недостатков системы, которые могут привести к ним
Экспертный опыт специалистов всех сервисов по обнаружению угроз от BI.ZONE в одном продукте
Экономия ресурсов с сервисами BI.ZONE
Эффективность BI.ZONE EDR напрямую зависит от навыков и опыта сотрудников подразделений кибербезопасности, которые используют этот продукт. Чтобы выявлять сложные киберинциденты и реагировать на них, а также заниматься проактивным поиском угроз, нужны компетентные в этих областях специалисты.
Вы можете сэкономить ресурсы на найме таких сотрудников, подключив BI.ZONE TDR — экспертный сервис для мониторинга инфраструктуры и реагирования на киберугрозы
Вы можете сэкономить ресурсы на найме таких сотрудников, подключив BI.ZONE TDR — экспертный сервис для мониторинга инфраструктуры и реагирования на киберугрозы
Сертификаты
Решение BI.ZONE EDR включено в реестр отечественного ПО
Наши проекты
Узнайте, как защитить конечные точки с BI.ZONE EDR
Вам также может подойти
Видео
Нет инцидента — нет проблем: как BI.ZONE EDR помогает предупреждать угрозы
Запись вебинара от 19 ноября 2024 г.
#вебинар
Нет инцидента — нет проблем: как BI.ZONE EDR помогает предупреждать угрозы
Пётр Куценко, руководитель BI.ZONE EDR, и Демьян Соколин, руководитель направления развития BI.ZONE EDR, рассказали об обновлениях BI.ZONE EDR за последние полгода: о рекомендациях по безопасности, упрощении интеграции с SIEM, сборе данных из произвольных журналов Windows Event Log и многом другом.
Запись вебинара от 19 ноября 2024 г.
Эфир о запуске коробочной версии BI.ZONE EDR
Запись онлайн-релиза от 16 мая 2024 г.
#онлайн-релиз
Эфир о запуске коробочной версии BI.ZONE EDR
Руководитель BI.ZONE EDR Пётр Куценко и руководитель направления развития EDR Демьян Соколин обсудили наш подход к защите конечных точек. Спикеры рассказали о возможностях BI.ZONE EDR, а также продемонстрировали работу решения на примере реальных атак на Windows, Linux, macOS и в контейнерных средах
Запись онлайн‑релиза от 16 мая 2024 г.
BI.ZONE EDR: что нового
Запись вебинара от 26 июля 2023 г.
#вебинар
BI.ZONE EDR: что нового
На вебинаре Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, рассказал об изменениях BI.ZONE EDR в первом полугодии 2023 года. Также спикер провел демонстрацию продукта, ответил на вопросы и поделился планами по развитию. В видео используется предыдущее название BI.ZONE EDR — BI.ZONE Sensors
High-stakes EDR — опыт коммерческого SOC
Доклад представителей BI.ZONE и Angara SOC на SOC-форуме 2022
#мероприятия #технологии #продукты #сотрудничество
High-stakes EDR — опыт коммерческого SOC
В рамках SOC-форума 2022 Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз в BI.ZONE, и Тимур Зиннятуллин, директор центра киберустойчивости Angara SOC, рассказали, как выстраивали Angara SOC с использованием BI.ZONE EDR, что пришлось сделать для развития системы кибербезопасности и с какими проблемами столкнулись
EDR не для «чайников»
SOC-форум 2022
#мероприятия #технологии
EDR не для «чайников»
SOC-форум 2022
Публикации
Общая документация
Документация для набора модулей «Мониторинг»
Документация для модуля EDR.Core (Linux)
Документация для модуля EDR.Core (Windows)
Документация для модуля EDR.Core (macOS)
Документация для модуля BI.ZONE Deception
Октябрь 2024 г. (релиз 1.35)
В решении BI.ZONE EDR появилась двухфакторная аутентификация и ряд функций, которые повышают эффективность мониторинга угроз. Агент для Windows теперь поддерживает мониторинг чтения значений из реестра и гибкую настройку троттлинга. В агенте для Linux расширен перечень собираемых файловых событий в контейнерных средах на базе провайдера eBPF.
Кроме того, BI.ZONE EDR стало проще интегрировать с SIEM-системами, потому что теперь можно отправлять данные параллельно в несколько назначений. Изменили язык выражений, улучшили интерфейс, внедрили ряд исправлений.
Состав релиза BI.ZONE EDR 1.35:
- сервер управления EDR 1.35;
- агент управления EDR 2.20;
- модуль EDR (Windows) v.1.9;
- модуль EDR (Linux) v.1.9.
Двухфакторная аутентификация (TOTP)
На сервере управления BI.ZONE EDR добавили двухфакторную аутентификацию (2FA) с использованием одноразовых паролей на основе алгоритма TOTP (time-based one-time password). Это поможет защитить учетные записи от несанкционированного доступа, даже если злоумышленник получил пароль пользователя. Для входа нужна не только связка «логин — пароль», но и одноразовый временный пароль. Чтобы сгенерировать его, должен быть доступ к устройству, на котором была настроена их генерация.
Отправка событий в несколько назначений
Изменили пайплайн обработки событий телеметрии и алертов. Добавили возможность отправки данных параллельно в несколько назначений по syslog или в Kafka. Это позволит быстрее и удобнее интегрировать BI.ZONE EDR с другими системами (SIEM, IRP, SOAR и т. д.), а также использовать корпоративное озеро данных для долгосрочного хранения телеметрии.
Мониторинг чтения реестра
Добавили поддержку мониторинга чтения значений из реестра с помощью нового события RegistryValueGet, чтобы отслеживать попытки несанкционированного доступа к реестру Windows. А именно к высококритичным настройкам программ и чувствительной информации в них (пароли от учетных записей и т. д.). Это повышает эффективность обнаружения различных утилит дампа учетных данных пользователей.
Для эффективности правило всегда должно содержать включающие фильтры. Они значительно сужают пространство мониторинга, поскольку массовый сбор событий обычно не имеет смысла и снижает производительность системы. Чтобы поддерживать фильтрацию по значению, у события появился первичный фильтр value_name, ограничивающий имена для мониторинга. Ниже пример правила мониторинга для попыток чтения паролей программы TightVNC.
SELECT
"Registry - TightVNC Password Read" AS rule_name,
value.name AS ValueName,
value.key.path.logical AS KeyPath
FROM Monitor("RegistryValueGet", incFilter=[{"value_name": '*password*', "value_key_path_native": '**\software\tightvnc\server*'}])
WHERE value.name ILIKE '**password**' AND value.key.path.logical ILIKE '**\software\tightvnc\server**'
Троттлинг событий (Windows)
В модуле EDR теперь есть возможность гибко настраивать троттлинг событий с помощью команды THROTTLE и получать агрегированные события. Это позволяет сократить поток событий и снизить нагрузку на хост, сеть и озеро данных.
Пример ниже позволяет агрегировать события удаления из временной директории Windows в рамках каждого процесса и выводит результат в виде агрегационного события.
-- Троттлинг событий ProcessCreate по пути к файлу — образу родительского процесса, создаваемого процесса и его командной строки
-- Окно троттлинга — 15 минут (либо до накопления в окне 100 тысяч событий)
-- Пропускается только первое событие на уровень SELECT из Monitor("ProcessCreate")
-- А также при закрытии окна троттлинга генерируется новое агрегационное событие ProcessCreateAgg для каждого такого окна
THROTTLE Monitor("ProcessCreate") BY
process.parent.image.path.logical AS proc_p_file_path,
process.image.path.logical AS proc_file_path,
process.cmdLine.raw AS cmdline
WITHIN 15*60*1000, 100000 EXCEPT 0
AGGREGATE ProcessCreateAgg
-- Генерируется событие на основе события ProcessCreate
SELECT
"Test - ProcessCreate" AS rule_name,
toIso8601(time) AS event_utc_time,
"ProcessCreate" AS event_type,
get("process.parent.image.path.logical") AS proc_p_file_path,
process.image.path.logical AS proc_file_path,
process.cmdLine.raw AS cmdline
FROM Monitor("ProcessCreate")
-- Генерируется новое событие на основе агрегационного события ProcessCreateAgg
SELECT
"Test - ProcessCreate (aggregated)" AS rule_name,
toIso8601(time) AS event_utc_time,
"EventRollupInfo" AS event_type,
get("keys.proc_p_file_path") AS proc_p_file_path,
keys.proc_file_path AS proc_file_path,
keys.cmdline AS cmdline,
dropCount AS event_dropped
FROM Monitor("ProcessCreateAgg")
WHERE dropCount > 0
Пример события, сгенерированного описанным выше правилом. Процесс whoami.exe был запущен 9 раз, первый запуск привел к генерации отдельного события, остальные 8 запусков были строттлены.
{
"rule_name": "Test - ProcessCreate",
"event_utc_time": "2024-10-28T07:29:28.131",
"event_type": "ProcessCreate",
"proc_p_file_path": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"proc_file_path": "c:\\windows\\system32\\whoami.exe",
"cmdline": "\"C:\\Windows\\system32\\whoami.exe\"",
"taskInstanceId": "",
"taskRunId": "",
"sequenceId": 1
}
{
"cmdline": "\"C:\\Windows\\system32\\whoami.exe\"",
"sequenceId": 2,
"rule_name": "Test - ProcessCreate (aggregated)",
"event_utc_time": "2024-10-28T07:30:28.179",
"event_type": "EventRollupInfo",
"proc_p_file_path": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"proc_file_path": "c:\\windows\\system32\\whoami.exe",
"event_dropped": 8,
"taskInstanceId": "",
"taskRunId": ""
}
Расширение телеметрии
Модуль EDR (Windows)
- В события
DriverLoadиProcessModuleLoadдобавили полеfileInstance, предоставляющее дескрипторFileInstanceоткрытому экземпляру загружаемого файла-образа, что позволяет обнаруживать ряд атак класса doppelgänging. - Для источника инвентаризации
CommandOutputEnumeratorв событиеInventorySessionStartдобавили поля:commandLine— полная строка запуска команды инвентаризации с путем к исполняемому файлу и необходимыми параметрами;outputMode— заданный при создании источника режим генерации событий.
- Для источника инвентаризации
CommandOutputEnumeratorв событиеInventorySessionFinishдобавили поля:exitCode— код возврата при завершении процесса;totalDataSize— общий размер данных, обработанных при инвентаризации;errorData— данные об ошибке, переданные из внешней команды через поток STDERR.
- В дескриптор
Processдобавили поля для отслеживания атак, направленных на снижение уровня защиты процессов:protectionLevel— уровень защиты процесса, определенный для PPL‑процессов;init.protectionLevel— уровень защиты процесса при его запуске;signatureLevel— уровень подписи файла исполняемого образа процесса;init.signatureLevel— уровень подписи файла исполняемого образа процесса при его запуске.
Модуль EDR (Linux)
- Добавили возможность обнаруживать такие события внутри произвольных контейнеров (Docker, containerd, LXC или LXD и т. д.) при использовании провайдера
ebpf:FileDelete— генерируется при удалении объекта в наблюдаемой директории;FileRename— генерируется при переименовании объекта в наблюдаемой директории;FileAceChange— генерируется при изменении атрибутов доступа объекта в наблюдаемой директории.
- Изменения в составе событий:
- В набор полей события
FileOwnerGroupChangeдобавили полеFileChangedFields— признак того, что изменился владелец (FileUser*) или группа объекта (FileGroup*). - В событиях
UserLogonAttemptSuccessпри входе по паролю и при отсутствии соответствующей записи в журналах аутентификации пользователей полеUserLogonSSHAuthTypeбудет принимать значениеUndefined.
- В набор полей события
Сервер управления EDR
Добавили событие об удалении агента (ServerAgentDeleted).
Улучшения UI и UX
- Добавили функцию сохранения запрашиваемого URL, если был редирект на форму авторизации. После авторизации будет переход на первоначально запрашиваемый URL.
- Доработали панель задач в карточке агента. Теперь в карточке отображается ссылка на просмотр результатов запусков задачи на хосте, время последнего запуска задачи на хосте и общее количество запусков.
- Добавили отдельную кнопку в окно выбора задачи (вместо ранее используемого названия задачи) для перехода в карточку задачи.
Прочее
Сервер управления EDR
- Добавили возможность подключаться к базе данных по SSL.
- Добавили отправку журнала действий пользователей в Kafka.
- В настройки событий мониторинга и инвентаризации
Dockerиcontainerdдобавили возможность указывать нестандартные пути UDS для подключения к демону контейнеризации. - В конфигурацию провайдера
processesвнедрили параметрcollectCGroups, управляющий сбором информации о cgroup процессов.
Исправления и оптимизации
Модуль EDR (Windows)
- Ускорили работу источника
CommandOutputпри использовании режима regex. - Значительно оптимизировали получение информации в драйвере EDR для ряда событий, включающих получение данных по стеку вызовов (адреса и модули).
- Улучшили работу оператора
INдля строк и чисел, чтобы эффективно проверять списки с большим количеством элементов (до десятков тысяч). - Исключили события
ObservedRegistryKeyFoundиObservedRegistryValueFoundдля путей реестра большой вложенности.
Модуль EDR (Linux)
- Обновили YARA до версии 4.5.1.
- Сделали более точным обогащение процессов полями
ProcessCGroupиContainer*при возможности использования провайдераebpf. - Улучшили поддержку провайдером
ebpfОС с ядрами Linux версии 4.19 и выше. - Исправили получение событий
UserLogonAttemptSuccessпри входе в веб-консоль SberLinux. - Убрали у событий
UserLogonFoundполяUserLogonHistoryIP,UserLogonHistoryFailedIPсо значением"0.0.0.0"при отсутствии записи в журналеwtmp. - Исключили возможность возникновения «пустых» пользователей в ряде полей
*Usernameпри наличии некорректных записей в/etc/passwdи/etc/groups. - Исправили заполнение полей
User*в событииUserLogonAttemptFail, фиксируемом в результате попытки локального входа с данными несуществующего пользователя из активной пользовательской сессии.
Сервер управления EDR
Исправили работу сервера с включенной mixed-аутентификацией. Теперь нет проблем:
- сервер не запускается при недоступном контроллере AD;
- отсутствие возможности создавать локальные учетные записи пользователей.
Агент управления EDR
Исправили проблемы:
- неправомерный перезапуск мультишаговых задач при рестарте агента;
- некорректное обновление модулей на агенте.
Август 2024 г. (релиз 1.34)
В BI.ZONE EDR появился раздел с обнаруженными недостатками конфигурации, а также автономное детектирование в macOS, инвентаризация данных вывода произвольной команды, автоматическое реагирование запуском произвольной команды в Windows и мониторинг произвольных журналов Windows Events Log. Расширилось количество источников телеметрии для Windows и macOS, произошли изменения в языке выражений, улучшен интерфейс, произведен ряд исправлений.
Состав релиза BI.ZONE EDR 1.34:
- Сервер управления EDR 1.34,
- Агент управления EDR 2.19.0,
- Модуль EDR (Windows) v.1.8.0,
- Модуль EDR (macOS) v.1.3.0.
Новые функциональные возможности
Рекомендации по безопасности
Оценка конфигурации безопасности предполагает проверку соответствия всех систем заранее определенным правилам настроек конфигурации и использования одобренных приложений. Один из самых надежных способов обеспечения безопасности конечных точек — это уменьшение их уязвимой поверхности. Этот процесс обычно называется харденингом (hardening). Оценка конфигурации является эффективным способом выявления слабых мест на конечных точках и их устранения для уменьшения поверхности атаки.
Модуль «Рекомендации по безопасности» не только проверяет настройки, но и может выявлять учетные записи со слабыми паролями. Таким образом, модуль помогает поддерживать высокий уровень безопасности конечных устройств, снижая риск атак и обеспечивая соответствие нормативным требованиям.
Автономное детектирование в macOS
Модуль BI.ZONE EDR для macOS расширяет возможности автономного детектирования IoA. Корреляционные правила поиска IoA фокусируются на обнаружении признаков активной атаки до того, как она нанесет ущерб. Правила включают в себя анализ попыток эксплуатации уязвимостей, необычные сетевые запросы, подозрительные изменения в системе и т. д.
Инвентаризация данных вывода произвольной команды
Новый источник данных CommandOutputEnumerator в BI.ZONE EDR (Windows) позволяет проводить периодическую инвентаризацию путем запуска внешней команды и парсинга ее результатов. Результат вывода внешней команды представляется в виде отдельных событий, содержащих различные данные в зависимости от настроек источника. Есть возможность блочного, построчного чтения или разбиения вывода на базе регулярных выражений, которые позволяют к тому же извлекать информацию в соответствии с заданными именованными группами регулярного выражения. Благодаря этому можно получить полноценный справочник с данными для дальнейшей обработки его на правилах cSQL.
Мониторинг произвольных журналов Windows Events Log
Новый источник данных WelMonitor в BI.ZONE EDR (Windows) позволяет читать данные из произвольных журналов Windows Events Log. Он может быть полезен для получения записей, которые не поставляются по каналам ETW. Данные события Windows конвертируются в поля заданного BI.ZONE EDR события с теми именами, которые есть в оригинальном событии. В источнике данных доступен XPath‑фильтр для фильтрации собираемых событий.
Автоматическое реагирование запуском произвольной команды в Windows
Добавлена response‑функция runProcess(), позволяющая в рамках реагирования запустить любой процесс и получить его вывод в виде потока для дальнейшего сохранения или преобразования в строку функцией toString() с дальнейшим парсингом extractRegex(). Эта функция позволяет реализовывать большое количество сценариев реагирования и обогащения при помощи выполнения команд cmd или PowerShell‑скриптов.
Расширение телеметрии
Модуль BI.ZONE EDR (Windows)
- Для источников инвентаризации добавлены события старта и завершения сессии инвентаризации:
InventorySessionStartиInventorySessionFinish. События доступны для всех источников, кроме гибридных (FileObserverиRegistryObserver). События содержат общие данные по сессии инвентаризации, такие как:- идентификатор сессии;
- настройки источника инвентаризации;
- количество найденных при инвентаризации элементов и сгенерированных событий;
- параметры данных снапшотов для источников, работающих в diff‑режиме;
- причина завершения инвентаризации.
- Для источника
FileObserverдобавлен параметрmaxLevelCount, позволяющий ограничить число обрабатываемых элементов (файлов или каталогов) на одном уровне иерархии. Параметр может быть полезен при инвентаризации огромных файловых хранилищ.
Модуль BI.ZONE EDR (macOS)
- Добавлены события:
FileAttrChange— событие генерируется при изменении атрибутов доступа объекта в наблюдаемой директории.FileOwnerGroupChange— событие генерируется при изменении владельца или группы объекта в наблюдаемой директории.FileExtAttrSet— событие генерируется при обнаружении установки расширенных атрибутов файлов в наблюдаемой директории.FileExtAttrDelete— событие генерируется при обнаружении удаления расширенных атрибутов файлов в наблюдаемой директории.
- В набор полей каждого события добавлены поля:
EventSource, содержащее имя источника события (аналогично используемому в секцииprovidersметрик приложения);SystemServerID, содержащее уникальный идентификатор сервера;SystemMachineSN, содержащее серийный номер устройства клиента, соответствующий графе Serial number в About this Mac.
- В структуру
FileInfoдобавлено полеRealPath, содержащее путь к оригинальному файлу с разыменованными симлинками на его пути (аналогичноrealpathилиreadlink -f). - В набор полей события
EDRStatisticsдобавлено полеperfSysNumCPU, содержащее информацию об общем количестве логических ядер CPU на хосте. - В набор полей события
ConsoleCommandExecutionдобавлено полеConsoleCommandType, содержащее информацию о причине формирования данного события.
Изменения в языке выражений
Модуль BI.ZONE EDR (Windows). cSQL
- Добавлена функция
extractRegex(), позволяющая из строки извлечь все вхождения подстрок, соответствующих заданному регулярному выражению, и представить их в виде списка для дальнейшей обработки. - В функцию
toString()добавлена возможность преобразования в строку из произвольного потока строковых данных. При этом можно указать используемую кодировку текста. Данная функция может использоваться для обработки результатов запуска сторонних утилит или при чтении файлов. - Появилась поддержка использования универсальных шаблонов при указании команд первичной фильтрации в драйвере командами
SET OPTION. Для сохранения обратной совместимости в события введены новые именования полей фильтрации, поддерживающие универсальные шаблоны. Новые имена полей для фильтрации имеют более читабельный вид и доступны в описании событий. При использовании старых именований универсальные шаблоны недоступны.
Модуль BI.ZONE EDR (macOS). YAML
- Добавлена функция, позволяющая вносить в событие информацию о произвольном процессе:
getProcess(pid)— возвращает информацию о процессе по заданному идентификаторуpid.
- Добавлен набор функций для работы с содержимым файлов и бинарными данными:
getFileContent(path, N)— возвращает N байт содержимого файла по заданному путиpath;toGzip(data)— сжимает набор байтовdataпри помощи алгоритма gzip;fromGzip(data)— распаковывает набор байтовdataпри помощи алгоритма gzip;sprintf(format, args...)— приводитargsк заданному спецификаторомformatформату (https://pkg.go.dev/fmt).
- Добавлен набор вспомогательных функций для массовой проверки строковых значений:
- результат выполнения которых зависит от регистра:
containsAny(value, substrings)— возвращаетtrue, если значениеvalueсодержит как минимум одну из строк массиваsubstrings, в противном случае —false;containsAll(value, substrings)— возвращаетtrue, если значениеvalueсодержит все строки из строк массиваsubstrings, в противном случае —false;matchesAny(value, regexes)— возвращаетtrue, если значениеvalueсоответствует как минимум одному из регулярных выражений из массиваregexes, в противном случае —false;matchesAll(value, regexes)— возвращаетtrue, если значениеvalueсоответствует всем регулярным выражениям из массиваregexes, в противном случае —false;
- результат выполнения которых не зависит от регистра:
icontainsAny(value, substrings)— возвращаетtrue, если значениеvalueсодержит как минимум одну из строк массиваsubstrings, в противном случае —false;icontainsAll(value, substrings)— возвращаетtrue, если значениеvalueсодержит все строки из строк массиваsubstrings, в противном случае —false;imatchesAny(value, regexes)— возвращаетtrue, если значениеvalueсоответствует как минимум одному из регулярных выражений из массиваregexes, в противном случае —false;imatchesAll(value, regexes)— возвращаетtrue, если значениеvalueсоответствует всем регулярным выражениям из массиваregexes, в противном случае —false.
- результат выполнения которых зависит от регистра:
Улучшения UI/UX
- Реализована возможность массового скачивания логов агентов через UI.
- Добавлено время изменения версии источника данных.
Прочее
Сервер управления BI.ZONE EDR (Server)
- Добавлена проверка целостности на старте сервера.
- Реализована возможность обогащения событий идентификатором сервера.
- Минимально поддерживаемая версия TLS — 1.3.
- Оптимизирован процесс удаления агентов.
Исправления и оптимизации
В рамках релиза был решен ряд проблем и произведены улучшения.
Модуль BI.ZONE EDR (Windows)
- Оптимизированы процедуры сбора логов для более полного получения диагностической информации в случае сбоев.
- Повышена стабильность работы компонента модуля со своим драйвером.
- Улучшено логирование использования памяти для расследования инцидентов.
- Исправлено поведение при обновлении на фид с неизвестным feedId.
- Внесены направленные на повышение стабильности улучшения и исправления в парсере .NET‑файлов, в парсере PE‑файлов и в парсере LNK‑файлов.
- Убрано ложное сообщение об ошибке в логах «Ошибка Fail to get device type of FSO».
Сервер управления BI.ZONE EDR (Server)
- Уменьшено количество служебных данных, передаваемых в heartbeat по gRPC.
- Оптимизирована работа с топиками Kafka при работе с Live‑консолью.
Май 2024 г. (релиз 1.33)
Обновились агенты для Linux, Windows и macOS. На Linux расширились возможности автономного обнаружения угроз и улучшилась видимость внутри контейнеров. В Windows-агенте появился мониторинг действий с именованными каналами и событий от процессов подсистемы WSL (Windows Subsystem for Linux). Поддержка WSL позволяет выявлять атаки, в которых используются комбинации Windows- и Linux‑инструментов. А в агенте для macOS теперь доступны мониторинг и инвентаризация точек автозапуска, а также YARA‑сканирование.
Состав релиза BI.ZONE EDR 1.33;
- Сервер управления EDR 1.33,
- Агент управления EDR 2.18.0,
- Модуль EDR (Windows) v.1.7.0,
- Модуль EDR (Linux) v.1.8.0.
Разделенные источники данных
Новая возможность для управления правилами сбора и фильтрации данных телеметрии и детектирования. Добавлена поддержка нескольких источников данных, которая позволяет более гибко разделять зоны ответственности пользователей и повышает эффективность настройки правил для обработки данных.
- Базовый источник телеметрии:
- Обязателен для запуска задачи.
- Используется для описания основных правил сбора событий телеметрии.
- Наполняется вендором.
- Расширенный источник телеметрии:
- Позволяет описывать дополнительные правила сбора событий телеметрии.
- Работает параллельно с базовым источником телеметрии, не влияя на его правила.
- Базовый источник детектирования:
- Опционален для запуска задачи.
- Описывает правила сбора событий детекции и реакции на определенные активности.
- Требует наличия соответствующих событий из источников данных телеметрии.
- Наполняется вендором.
- Расширенный источник детектирования:
- Дает пользователям возможность описывать дополнительные правила сбора событий детектирования.
- Работает параллельно с базовым источником детектирования, не влияя на его правила.
- Источник исключений для событий телеметрии:
- Предназначен для фильтрации выходного потока событий телеметрии.
- Определяется пользователем для сокращения потока телеметрии на основе специфических правил фильтрации.
- Источник исключений для событий детектирования:
- Позволяет фильтровать выходной поток событий детектирования.
- Используется для уменьшения количества обрабатываемых событий детектирования согласно пользовательским правилам.
Возможность выбора разных источников данных в EDR‑агенте
Эти улучшения помогут значительно упростить процесс конфигурирования и повысить общую эффективность работы с BI.ZONE EDR.
Автономное детектирование в Linux
Корреляционные правила по поиску IoA фокусируются на обнаружении признаков текущей атаки до того, как она нанесет ущерб. Это включает в себя анализ попыток эксплуатации уязвимостей, необычные сетевые запросы, подозрительные изменения в системе и т. д.
Пример детектирования индикатора атаки в Linux‑агенте
Динамические группы
Это инструмент для автоматизации управления и сегментации агентов EDR в сети, который позволяет IT‑администраторам и специалистам по кибербезопасности создавать группы. Если соблюдаются определенные условия, новые агенты добавляются туда автоматически при регистрации в системе.
Создание фильтра автоматического добавления агента в группе
Расширенная телеметрия
Модуль EDR.Core (Windows)
Добавлена поддержка мониторинга событий от процессов подсистемы WSLv1. Теперь все ранее поддерживаемые события, кроме ProcessModuleLoad, также доступны для мониторинга. Из‑за особенностей работы подсистемы WSL не все поля событий могут быть доступны (подробности — в документации по событиям). Еще одна особенность — невозможность доступа к памяти процесса и анализу его содержимого, в т. ч. сканирования по YARA‑правилам.
Модуль EDR.Core (Linux)
Появилась возможность обнаружения событий FileCreate и FileChange внутри произвольных контейнеров (docker, сontainerd) при использовании провайдера ebpf.
Добавлены события:
FileChange. Генерируется при обнаружении первой записи данных в файл после его повторного открытия.SyscallExecute. Генерируется при обнаружении заданного в конфигурации системного вызова.ResourceLimitExceeded. Генерируется при достижении порогов: 85% от заданного лимита памяти или 98% — CPU.ContainerdContainerStarted. Генерируется при запуске нового контейнера и runtime‑обновлении конфигурации запущенного.ContainerdContainerStopped. Генерируется при полной остановке containerd контейнера.ContainerdContainerRunningFound. Событие инвентаризации, генерируется для каждого запущенного контейнера.ContainerdContainerStoppedFound. Событие инвентаризации, генерируется для каждого существующего, но незапущенного контейнера.
Обновленный интерфейс
- Фильтрация списка агентов по дате и времени последнего подключения.
- Удаление агента с конечной точки по команде с сервера EDR.
- Возможность указывать, для какой версии агента предназначен каждый файл новой конфигурации источника данных.
- Увеличение размера окна для просмотра результатов задачи.
- Кастомизация времени жизни пользовательской сессии.
- Открытие страницы агента в новой вкладке.
- Изменение свойств ключей группы:
- увеличилась максимальная длина ключа — до 128 символов,
- можно использовать символ «-»,
- задавать сам параметр ключа при создании группы теперь необязательно.
