BI.ZONE TDR (SOC/MDR)
Threat Detection and Response
Это возможно благодаря сбору и анализу событий от любых источников, сочетая агентские и безагентские механизмы
Благодаря ретроспективному анализу событий и сбору криминалистических артефактов с помощью EDR
Сбор телеметрии EDR дает возможность своевременно выявить продвинутые атаки, незаметные для штатного аудита и средств защиты
Использование EDR позволяет делегировать задачи по оперативному реагированию профессионалам
Клиентский портал позволяет автоматизировать передачу сведений об инцидентах регуляторам — НКЦКИ, ФинЦЕРТ и другим
Наши рекомендации, вкупе с автоматизированным выявлением уязвимостей и недостатков конфигурации с помощью EDR, позволяют предупреждать будущие инциденты

Проводим классический мониторинг и предоставляем рекомендации по реагированию. Cобираем штатную телеметрию с конечных точек и других источников событий
Выявляем продвинутые атаки, обнаруживаем прошлые уязвимости и недостатки конфигурации в IT‑инфраструктуре с помощью решения BI.ZONE EDR. Обеспечиваем активное реагирование на защищаемых хостах
Объединение возможностей Focus и Horizon: обеспечиваем мониторинг и выявление инцидентов как на базе штатного аудита, так и с опорой на расширенную телеметрию и инвентаризацию хостов с BI.ZONE EDR. А также проводим активное реагирование на выявляемые инциденты. Полное покрытие вашей IT‑инфраструктуры
Обладает всеми возможностями BI.ZONE EDR для реагирования, инвентаризации и проактивной защиты
Помимо мониторинга выявляет уязвимости и мисконфигурации, которые могут использоваться в атаках
Взаимодействует с системами EDR, TI, SIEM, SOAR от BI.ZONE
Получает информацию от BI.ZONE Threat Intelligence, активно исследующего угрозы для России и стран СНГ
Применяет более 1700 правил корреляции и 500 уникальных правил
Предоставляет минимальный договор SLA в случае критичного инцидента
Наша команда
Как попробовать
-
Продемонстрируем возможности сервиса и ответим на ваши вопросы
-
Проведем бесплатное пилотирование на тестовом участке инфраструктуры
Horizon | Focus | Panorama | |
---|---|---|---|
Непрерывный поиск уязвимостей и недостатков инфраструктуры
|
|||
Валидация найденного экспертами BI.ZONE
|
Horizon | Focus | Panorama | |
---|---|---|---|
Круглосуточный мониторинг инцидентов
|
|||
Индивидуальные правила корреляции
|
|||
Правила корреляции для выявления продвинутых атак
|
|||
Использование YARA-правил
|
|||
Ручной проактивный поиск инцидентов (threat hunting)
|
Horizon | Focus | Panorama | |
---|---|---|---|
Автоматизированные уведомления
|
|||
Рекомендации по выявленным инцидентам
|
|||
Активное реагирование с помощью EDR экспертами BI.ZONE
|
Horizon | Focus | Panorama | |
---|---|---|---|
Выявление прошлых атак, неактивных в настоящий момент
|
Как попробовать
-
Продемонстрируем возможности сервиса и ответим на ваши вопросы
-
Проведем бесплатное пилотирование на тестовом участке инфраструктуры
Видео

Андрей Шаляпин, руководитель BI.ZONE TDR, в интервью AM Live поделился, как избежать ошибок при подключении внешнего сервиса SOC или организации собственного мониторинга

На SOC Forum 2024 директор департамента мониторинга, реагирования и исследования киберугроз Теймур Хеирхабаров представил наиболее популярные и интересные мисконфигурации, выявляемые в реальных инцидентах на конечных точках

На SOC Forum 2024 руководитель BI.ZONE TDR Андрей Шаляпин рассказал о моделях предоставления облачных сервисов и зонах ответственности за защиту объектов в облаке. Спикер сфокусировался на ключевых особенностях угроз кибербезопасности в облачных средах и поделился опытом работы с инцидентами

Руководитель управления мониторинга киберугроз Андрей Шаляпин и руководитель управления по борьбе с киберугрозами Михаил Прохоренко продемонстрировали технологии BI.ZONE TDR для проактивной защиты клиентов: deception‑ловушки, системы поиска уязвимостей и мисконфигураций, средства обнаружения угроз в контейнерных средах и др.
Запись вебинара от 19 июня 2024 г.

Главный специалист по машинному обучению и исследованию данных Николай Прудковский рассказал на PHDays 2024, как оптимизировать работу аналитиков и снизить alert fatigue. Спикер описал проблемы и подводные камни при внедрении решения

Подкаст AM LIVE

SOC-Форум 2023

SOC-Форум 2023

На вебинаре Андрей Куликов, руководитель экспертной поддержки продаж, разобрал подходы к работе по выявлению киберугроз и реагированию на них. Также он рассказал об устройстве нашего собственного SOC
Запись вебинара от 22 ноября 2022 г.

Директор департамента мониторинга и реагирования на киберугрозы Теймур Хеирхабаров рассказал о внутренней кухне коммерческого SOC, о состоянии и перспективах рынка, а также о возможностях роста для российских аналитиков

Директор департамента мониторинга и реагирования на киберугрозы Теймур Хеирхабаров рассказал, как изменился спрос на услуги BI.ZONE в 2022 году, и поделился планами на развитие SOC‑решений компании

Теймур Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы, рассказал, как уход вендоров повлиял на наш SOC, и предположил, какая судьба ждет это направление

Т. Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы | AM Live

Т. Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы | AM Live

Т. Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы | AM Live
BI.ZONE CPT и BI.ZONE TDR усиливают защиту от внешних угроз
1 июля 2025 г.
|
Читать | |
Обеспечили мониторинг IT‑инфраструктуры IV Конгресса молодых ученых
6 декабря 2024 г.
|
Читать | |
О роли SOC, EDR и XDR на пути к оптимальной безопасности
5 декабря 2024 г.
|
Информационная безопасность | Читать |
В третьем квартале злоумышленники стали чаще атаковать финансовый сектор
24 октября 2024 г.
|
Читать | |
Threat Prediction: превентивная работа с угрозами в BI.ZONE TDR
30 мая 2024 г.
|
Читать | |
Обнаружение угроз с BI.ZONE TDR на примере бэкдора XZ Utils
4 апреля 2024 г.
|
Читать | |
Обзор BI.ZONE TDR, сервиса мониторинга и реагирования на инциденты в кибербезопасности
19 июня 2023 г.
|
Anti-Malware.ru | Читать |
В рамках сервиса BI.ZONE TDR теперь раз в две недели приходит рассылка о критических уязвимостях. Расширена интеграция с BI.ZONE CPT для передачи проверенных данных об угрозах. В боте появились уведомления о проблемах с доставкой событий безопасности, а в личном кабинете — удобный раздел с рекомендациями по устранению уязвимостей. Также добавили выгрузку детальных отчетов по агентам EDR и поддержку Ubuntu 24.04 LTS на серверах.
Теперь каждые две недели мы отправляем рассылку о трендовых уязвимостях. В ней пишем о тех, которые:
- широко освещаются в СМИ и отчетах вендоров;
- распространены на устройствах различных организаций;
- имеют высокую критичность;
- могут эксплуатироваться существующими эксплоитами;
- эксплуатируются в атаках.
Так выглядит описание уязвимости в рассылке:

При подключении услуги BI.ZONE TDR, а также при первом продлении действующих контрактов выполняется разовое сканирование внешнего периметра средствами платформы BI.ZONE CPT (Continuous Penetration Testing). Устранение критических угроз на периметре IT-инфраструктуры (уязвимостей, небезопасных сервисов) позволяет существенно сократить поверхность атаки и снизить риски реализации киберинцидентов.
Сканирование проходит в два этапа:
- Инвентаризационное сканирование ресурсов. Включает проверку открытых портов на каждом IP-адресе организации. Позволяет выявить сервисы, работающие во внешней сети, их типы, а также веб-приложения, размещенные на внешнем периметре компании.
- Сканирование на уязвимости. Для этого используются коммерческие инструменты, open-source- и собственные решения. О каждой уязвимости предоставляем информацию: где она находится и как ее устранить. В рамках сканирования также выявляем мисконфигурации. Результаты доступны в виде инцидентов типа Remediation на BI.ZONE SOC Portal.
Теперь в BI.ZONE TDR передаются только верифицированные события, прошедшие ручную проверку командой BI.ZONE CPT.
Заказчики получают информацию об инцидентах, связанных с наиболее значимыми уязвимостями внешнего периметра — теми, которые могут привести к компрометации инфраструктуры. Это позволяет действовать проактивно: выявлять и устранять угрозы на ранних этапах, чтобы предотвратить компрометацию и не допустить продвижения злоумышленников внутри сети. Уведомления поступают через direct alert.
Если вы еще не используете BI.ZONE CPT или планируете покупку, напишите сервис-менеджеру.
Узнать подробностиВ BI.ZONE TDR Bot теперь можно получать уведомления о критических инцидентах типа FLR (Failure). Они связаны с мониторингом доступности брокеров событий из облачной инфраструктуры SOC и отсутствием событий кибербезопасности от критических источников.
Это изменение поможет быстрее узнавать о значимых FLR-инцидентах, влияющих на доставку событий безопасности в SOC.
Для таких уведомлений в чате с TDR Bot появилась тема «Проблемы с доступностью сервиса»:

Добавили возможность получать отчеты о мисконфигурациях. Эти отчеты можно запросить у бота в личных сообщениях. Также эта информация раз в месяц будет рассылаться в общий чат (раздел «Рекомендации безопасности»). Узнать подробнее про Threat Prediction можно в статье.
В личных сообщениях выберите пункт «Отчеты», затем — «Отчет Threat Prediction»:

Добавили выгрузку подробных отчетов по агентам EDR. Они содержат важную информацию о хостах, последних авторизованных пользователях, статусе агентов EDR и многое другое. Для получения отчета выберите пункт «Отчеты», затем — «Выгрузка по EDR-агентам»:

Чтобы получить информацию о контракте (тариф и срок хранения данных), нажмите кнопку «О сервисе».

Сообщения в переписке с ботом теперь будут удаляться раз в сутки. Это сделано для повышения уровня безопасности и снижения рисков, связанных с хранением чувствительной информации.
Добавили раздел «Рекомендации безопасности», который открывается при выборе пункта меню «Карточки» → «Рекомендации безопасности».

Здесь отображается список направленных на портал событий, которые связаны с некорректной конфигурацией контролируемых систем и которые создают риски нарушения безопасности.
В FLR-инцидентах, связанных с отсутствием событий кибербезопасности, теперь указывается связь с источниками в поле «Источник».
В списке инцидентов доступна фильтрация по связанным с FLR источникам. Для этого в разделе с инцидентами нужно установить фильтр «Источник событий» и указать в нем название одного или нескольких источников:

Если вы используете интеграцию с SOC Portal по API, то при запросе карточки FLR-инцидента можете получить структурированный список источников, связанных с ним. Актуальная спецификация API — у сервис-менеджера.
Ввели маркировку комментариев в зависимости от источника и категории пользователя.
Теперь отмечаем комментарии следующим образом:




Что еще улучшили в интерфейсе:
- Вкладки «Инциденты» и «Задачи» на панели навигации объединили в общий раздел «Карточки».
- Продолжили унифицировать наименования полей.
Теперь сервер BI.ZONE EDR можно установить на Ubuntu 24.04 LTS. Это может быть актуально, если вы хотите разместить сервер в инфраструктуре.
Поддерживаемые ОС для установки сервера BI.ZONE EDR: Ubuntu 24.04, Ubuntu 22.04/20.04, ALT Server 10 (Mendelevium), ALT 8 SP Server (cliff), Astra Linux 1.7.5, Centos 7/8 (не рекомендуется), Debian 10.13, Debian 12.x.
Разработали инструкцию по установке агента с параметром Portable. Теперь заказчик может проверить работу агента заранее — без установки сервера управления EDR.
Разработали инструкции:
- По сбору диагностической информации с гипервизора при проблемах подключения к виртуальным машинам с Windows хостами. Инструкция доступна в разделе «Документация» в личном кабинете (SOC-Portal).
- По сбору BSOD-дампов при зависании и аварийном отключении Windows хостов. Перейти к инструкции.
Инструкции, как настроить отправку событий с источников, доступны в разделе «Документация». Всего разработали более 30 новых инструкций, из них более 20 для клиентов, использующих MP SIEM (отмечены тегом MP SIEM).
BI.ZONE TDR теперь позволяет быстрее выявлять и устранять угрозы: новый модуль Threat Prediction автоматически находит уязвимости в Active Directory, а анализатор сетевого трафика на базе Suricata помогает расширить зону видимости угроз. Работа с инцидентами стала удобнее благодаря обновленному личному кабинету с тегами и улучшенной обработкой обращений. Единый вход через BI.ZONE ID упростил доступ ко всем сервисам компании.
BI.ZONE EDR (в тарифах Focus и Panorama) позволяет обнаружить мисконфигурации в инфраструктуре Active Directory, например слабые пароли или небезопасные настройки. Злоумышленники используют эти мисконфигурации для продвижения и повышения привилегий в атакуемой IT‑инфраструктуре.

На контроллере домена BI.ZONE EDR собирает инвентаризационные данные, необходимые для обнаружения мисконфигураций. Это происходит в безопасном режиме, без изменения конфигурации системы.
Для работы необходимо выделить один контроллер домена, где будут собираться данные. Контроллер поместят в специальную группу, после чего с него начнут приходить необходимые данные для анализа.
Добавили анализатор сетевого трафика (network traffic analysis, NTA) на базе системы обнаружения и предотвращения вторжений Suricata. Для него мы уже разработали более 350 сигнатур, объединенных примерно в 60 сценариев для обнаружения атак в инфраструктуре Active Directory. База сигнатур регулярно пополняется.
Анализатор сетевого трафика предоставляет дополнительный уровень обнаружения угроз, которые являются слепыми зонами для EDR. Собирая сетевую телеметрию, NTA помогает аналитикам получить более полное представление об активности в инфраструктуре.
Теперь обращения необходимо подавать через BI.ZONE SOC Portal (тип Request). Они будут сгруппированы в одном месте, чтобы вы могли в любое время вернуться к ним и посмотреть историю. На портале сразу назначаются ответственные исполнители, поэтому обращения обрабатываются быстрее, чем когда их отправляют в телеграм-чате или по почте.
Чтобы создать обращение, перейдите на вкладку «Инциденты», выберите тип Request и одну из предложенных категорий в поле «Основная категория».

На BI.ZONE SOC Portal переработаны диалоговые окна для действий с инцидентами. Теперь можно форматировать текст комментария, который вы оставляете к инциденту.

Ввели систему тегов для характеристики инцидентов и связанных с ними алертов. Теги автоматически добавляются к описанию инцидентов в случаях обогащения данными из BI.ZONE Threat Intelligence, информацией об инструментах злоумышленников, утилитах или известных группировках атакующих.
Теги отображаются в BI.ZONE SOC Portal на странице с информацией по инциденту.

Если вы планируете использовать API‑интерфейс, обратитесь к сервис-менеджеру за инструкцией по подключению. А если вы уже используете API-интерфейс, проверьте, что ваши интеграционные контракты соответствуют рекомендациям.
Теперь вы можете использовать BI.ZONE TDR WebApp как полноценное веб-приложение. В боте появилась отдельная кнопка, чтобы открывать веб-версию. Для быстрого доступа к BI.ZONE TDR WebApp можно закрепить его ярлык на главном экране телефона.
В веб-версии есть две основные вкладки: «Инциденты» и «Отчеты».
На вкладке «Инциденты» вы можете:
- создавать заявки,
- смотреть список заявок,
- открывать заявки и видеть информацию по ним,
- изучать вложения заявок.
На вкладке «Отчеты» вы можете:
- создавать TDR-отчеты с помощью удобной формы,
- загружать отчеты для отправки в личные сообщения,
- получать отчеты со сводной статистикой по инцидентам и со списком агентов EDR.
В личном кабинете BI.ZONE SOC Portal и интерфейсе хранилища телеметрии EDR (Kibana) теперь доступна аутентификация через BI.ZONE ID. До конца II квартала 2025 года такая возможность появится и на серверах BI.ZONE EDR.
BI.ZONE ID — технология единого входа (single sign-on, SSO), которая позволяет безопасно аутентифицироваться в приложениях и сайтах BI.ZONE, используя один набор учетных данных и двухфакторную аутентификацию на базе приложения с одноразовыми паролями (one‑time password, OTP).

У агента EDR в Windows появился графический интерфейс. Он отображает состояние агента: перечень установленных модулей, связь с сервером, состояние самозащиты и сетевой изоляции.
Чтобы начать работу с графическим интерфейсом, переустановите агент с параметром GUI_ENABLED = true
. Включить интерфейс агента с сервера EDR пока нельзя.

Добавили поддержку платформы контейнеризации Podman. Благодаря этому появилось больше возможностей управлять событиями и анализировать их в контейнерной среде. С подробностями можно ознакомиться на странице обновлений BI.ZONE EDR (релиз 1.37).
Добавили новые события инвентаризации:
ADCSTemplateInfoWin
— событие инвентаризации шаблонов AD CS. Инвентаризация выполняется на серверах, где установлена хотя бы одна из ролей службы сертификатов Active Directory.ADCSACLInfoWin
— событие инвентаризации списка контроля доступа (ACL) службы сертификации.DriverUnloadWin
— событие, генерируемое при выгрузке драйвера. Основано на системном событии с EID‑1 поставщика событий Microsoft-Windows-FilterManager.
Разработали 29 новых инструкций по настройке аудита источников и по отправке событий с источников. Полный перечень инструкций доступен в личном кабинете BI.ZONE TDR в разделе «Документация».
Если нет возможности напрямую подключить агенты EDR из вашей инфраструктуры к сервису TDR (нашему облаку), настройте обратный прокси-сервер по инструкции, которая также доступна в разделе «Документация».
Агенты EDR будут отправлять телеметрию на адрес прокси-сервера, размещенного в вашей инфраструктуре. Далее прокси-сервер обеспечит пересылку телеметрии в наше облако, а также позволит агенту EDR связываться с сервером и получать задачи на исполнение.