BI.ZONE TDR (SOC/MDR)
Threat Detection and Response
Это возможно благодаря сбору и анализу событий от любых источников, сочетая агентские и безагентские механизмы
Благодаря ретроспективному анализу событий и сбору криминалистических артефактов с помощью EDR
Сбор телеметрии EDR дает возможность своевременно выявить продвинутые атаки, незаметные для штатного аудита и средств защиты
Использование EDR позволяет делегировать задачи по оперативному реагированию профессионалам
Клиентский портал позволяет автоматизировать передачу сведений об инцидентах регуляторам — НКЦКИ, ФинЦЕРТ и другим
Наши рекомендации, вкупе с автоматизированным выявлением уязвимостей и недостатков конфигурации с помощью EDR, позволяют предупреждать будущие инциденты
Проводим классический мониторинг и предоставляем рекомендации по реагированию. Cобираем штатную телеметрию с конечных точек и других источников событий
Выявляем продвинутые атаки, обнаруживаем прошлые уязвимости и недостатки конфигурации в IT‑инфраструктуре с помощью решения BI.ZONE EDR. Обеспечиваем активное реагирование на защищаемых хостах
Объединение возможностей Focus и Horizon: обеспечиваем мониторинг и выявление инцидентов как на базе штатного аудита, так и с опорой на расширенную телеметрию и инвентаризацию хостов с BI.ZONE EDR. А также проводим активное реагирование на выявляемые инциденты. Полное покрытие вашей IT‑инфраструктуры
Обладает всеми возможностями BI.ZONE EDR для реагирования, инвентаризации и проактивной защиты
Помимо мониторинга выявляет уязвимости и мисконфигурации, которые могут использоваться в атаках
Взаимодействует с системами EDR, TI, SIEM, SOAR от BI.ZONE
Получает информацию от BI.ZONE Threat Intelligence, активно исследующего угрозы для России и стран СНГ
Применяет более 1700 правил корреляции и 500 уникальных правил
Предоставляет минимальный договор SLA в случае критичного инцидента
Наша команда
Как попробовать
-
Продемонстрируем возможности сервиса и ответим на ваши вопросы
-
Проведем бесплатное пилотирование на тестовом участке инфраструктуры
| Horizon | Focus | Panorama | |
|---|---|---|---|
|
Непрерывный поиск уязвимостей и недостатков инфраструктуры
|
|||
|
Валидация найденного экспертами BI.ZONE
|
| Horizon | Focus | Panorama | |
|---|---|---|---|
|
Круглосуточный мониторинг инцидентов
|
|||
|
Индивидуальные правила корреляции
|
|||
|
Правила корреляции для выявления продвинутых атак
|
|||
|
Использование YARA-правил
|
|||
|
Ручной проактивный поиск инцидентов (threat hunting)
|
| Horizon | Focus | Panorama | |
|---|---|---|---|
|
Автоматизированные уведомления
|
|||
|
Рекомендации по выявленным инцидентам
|
|||
|
Активное реагирование с помощью EDR экспертами BI.ZONE
|
| Horizon | Focus | Panorama | |
|---|---|---|---|
|
Выявление прошлых атак, неактивных в настоящий момент
|
Как попробовать
-
Продемонстрируем возможности сервиса и ответим на ваши вопросы
-
Проведем бесплатное пилотирование на тестовом участке инфраструктуры
Видео
Не иди в SOC! Пока не посмотришь это видео
А. Шаляпин, руководитель BI.ZONE TDR | AM Live
#интервью#soc
Андрей Шаляпин, руководитель BI.ZONE TDR, в интервью AM Live поделился, как избежать ошибок при подключении внешнего сервиса SOC или организации собственного мониторинга
От мисконфигурации к компрометации
Т. Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз
#мероприятия#тренды
На SOC Forum 2024 директор департамента мониторинга, реагирования и исследования киберугроз Теймур Хеирхабаров представил наиболее популярные и интересные мисконфигурации, выявляемые в реальных инцидентах на конечных точках
Как не утонуть в облаках: особенности мониторинга безопасности облачных инфраструктур
А. Шаляпин, руководитель BI.ZONE TDR
#мероприятия
На SOC Forum 2024 руководитель BI.ZONE TDR Андрей Шаляпин рассказал о моделях предоставления облачных сервисов и зонах ответственности за защиту объектов в облаке. Спикер сфокусировался на ключевых особенностях угроз кибербезопасности в облачных средах и поделился опытом работы с инцидентами
BI.ZONE TDR: мониторинг на опережение
Запись вебинара от 19 июня 2024 г.
#вебинар
Руководитель управления мониторинга киберугроз Андрей Шаляпин и руководитель управления по борьбе с киберугрозами Михаил Прохоренко продемонстрировали технологии BI.ZONE TDR для проактивной защиты клиентов: deception‑ловушки, системы поиска уязвимостей и мисконфигураций, средства обнаружения угроз в контейнерных средах и др.
Запись вебинара от 19 июня 2024 г.
Уменьшение нагрузки на аналитика SOC
Н. Прудковский, главный специалист по машинному обучению и исследованию данных
#мероприятия#soc
Главный специалист по машинному обучению и исследованию данных Николай Прудковский рассказал на PHDays 2024, как оптимизировать работу аналитиков и снизить alert fatigue. Спикер описал проблемы и подводные камни при внедрении решения
Разработка детектирующей логики в современном SOC
Подкаст AM LIVE
#мероприятия
Подкаст AM LIVE
Как построить мониторинг ИБ и не утонуть в бесполезных логах
SOC-Форум 2023
#мероприятия
SOC-Форум 2023
Создание и внедрение системы корреляции событий ИБ на основе программы с открытым исходным кодом Apache Flink
SOC-Форум 2023
#мероприятия
SOC-Форум 2023
От мисконфигурации до активного реагирования: как управлять киберинцидентами
Запись вебинара от 22 ноября 2022 г.
#вебинар
На вебинаре Андрей Куликов, руководитель экспертной поддержки продаж, разобрал подходы к работе по выявлению киберугроз и реагированию на них. Также он рассказал об устройстве нашего собственного SOC
Запись вебинара от 22 ноября 2022 г.
«Свежевыжатый подкаст 2.0», выпуск 2. Как повышать скилы российскому SOC‑аналитику
Т. Хеирхабаров, директор департамента мониторинга и реагирования на киберугрозы | BIS TV
#интервью#тренды#soc
Директор департамента мониторинга и реагирования на киберугрозы Теймур Хеирхабаров рассказал о внутренней кухне коммерческого SOC, о состоянии и перспективах рынка, а также о возможностях роста для российских аналитиков
О планах развития продуктов и услуг SOC от BI.ZONE
Т. Хеирхабаров, директор департамента мониторинга и реагирования на киберугрозы | AM Live
#интервью#продукты#тренды
Директор департамента мониторинга и реагирования на киберугрозы Теймур Хеирхабаров рассказал, как изменился спрос на услуги BI.ZONE в 2022 году, и поделился планами на развитие SOC‑решений компании
Об особенностях услуги TDR и планах развития с учетом новых санкций
Т. Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы | AM Live
#интервью#продукты#тренды
Теймур Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы, рассказал, как уход вендоров повлиял на наш SOC, и предположил, какая судьба ждет это направление
Об отличительных особенностях BI.ZONE SOC и планах развития
Т. Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы | AM Live #мероприятия#интервью#продукты
Т. Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы | AM Live
О применении ИИ в сервисах MDR и выборе поставщика
Т. Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы | AM Live
#мероприятия#интервью#технологии
Т. Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы | AM Live
О EDR от BI.ZONE, какие требования предъявляет SOC к этим продуктам
Т. Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы | AM Live
#интервью#продукты#технологии
Т. Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы | AM Live
|
BI.ZONE CPT и BI.ZONE TDR усиливают защиту от внешних угроз
1 июля 2025 г.
|
Читать | |
|
Обеспечили мониторинг IT‑инфраструктуры IV Конгресса молодых ученых
6 декабря 2024 г.
|
Читать | |
|
О роли SOC, EDR и XDR на пути к оптимальной безопасности
5 декабря 2024 г.
|
Информационная безопасность | Читать |
|
В третьем квартале злоумышленники стали чаще атаковать финансовый сектор
24 октября 2024 г.
|
Читать | |
|
Threat Prediction: превентивная работа с угрозами в BI.ZONE TDR
30 мая 2024 г.
|
Читать | |
|
Обнаружение угроз с BI.ZONE TDR на примере бэкдора XZ Utils
4 апреля 2024 г.
|
Читать | |
|
Обзор BI.ZONE TDR, сервиса мониторинга и реагирования на инциденты в кибербезопасности
19 июня 2023 г.
|
Anti-Malware.ru | Читать |
Теперь каждые две недели мы отправляем рассылку о трендовых уязвимостях. В ней пишем о тех, которые:
- широко освещаются в СМИ и отчетах вендоров;
- распространены на устройствах различных организаций;
- имеют высокую критичность;
- могут эксплуатироваться существующими эксплоитами;
- эксплуатируются в атаках.
Так выглядит описание уязвимости в рассылке:
При подключении услуги BI.ZONE TDR, а также при первом продлении действующих контрактов выполняется разовое сканирование внешнего периметра средствами платформы BI.ZONE CPT (Continuous Penetration Testing). Устранение критических угроз на периметре IT-инфраструктуры (уязвимостей, небезопасных сервисов) позволяет существенно сократить поверхность атаки и снизить риски реализации киберинцидентов.
Оно проходит в два этапа:
- Инвентаризационное сканирование ресурсов. Включает проверку открытых портов на каждом IP-адресе организации. Позволяет выявить сервисы, работающие во внешней сети, их типы, а также веб-приложения, размещенные на внешнем периметре компании.
- Сканирование на уязвимости. Для этого используются коммерческие инструменты, open-source- и собственные решения. О каждой уязвимости предоставляем информацию: где она находится и как ее устранить. В рамках сканирования также выявляем мисконфигурации. Результаты доступны в виде инцидентов типа Remediation на BI.ZONE SOC Portal.
Теперь в BI.ZONE TDR передаются только верифицированные события, прошедшие ручную проверку командой BI.ZONE CPT.
Заказчики получают информацию об инцидентах, связанных с наиболее значимыми уязвимостями внешнего периметра — теми, которые могут привести к компрометации инфраструктуры. Это позволяет действовать проактивно: выявлять и устранять угрозы на ранних этапах, чтобы предотвратить компрометацию и не допустить продвижения злоумышленников внутри сети. Уведомления поступают через direct alert.
Если вы еще не используете BI.ZONE CPT или планируете покупку, напишите сервис-менеджеру.
Узнать подробностиВ BI.ZONE TDR Bot теперь можно получать уведомления о критических инцидентах типа FLR (Failure). Они связаны с мониторингом доступности брокеров событий из облачной инфраструктуры SOC и отсутствием событий кибербезопасности от критических источников.
Это изменение поможет быстрее узнавать о значимых FLR-инцидентах, влияющих на доставку событий безопасности в SOC.
Для таких уведомлений в чате с TDR Bot появилась тема «Проблемы с доступностью сервиса»:
Добавили возможность получать отчеты о мисконфигурациях. Эти отчеты можно запросить у бота в личных сообщениях. Также эта информация раз в месяц будет рассылаться в общий чат (раздел «Рекомендации безопасности»). Узнать подробнее про Threat Prediction можно в данной статье.
В личных сообщениях выберите пункт «Отчеты», затем — «Отчет Threat Prediction»:
Добавили выгрузку подробных отчетов по агентам EDR. Они содержат важную информацию о хостах, последних авторизованных пользователях, статусе агентов EDR и многое другое. Для получения отчета выберите пункт «Отчеты», затем — «Выгрузка по EDR-агентам»:
Чтобы получить информацию о контракте (тариф и срок хранения данных), нажмите кнопку «О сервисе».
Сообщения в переписке с ботом теперь будут удаляться раз в сутки. Это сделано для повышения уровня безопасности и снижения рисков, связанных с хранением чувствительной информации.
Добавили раздел «Рекомендации безопасности», который открывается при выборе пункта меню «Карточки» → «Рекомендации безопасности».
Здесь отображается список направленных на портал событий, которые связаны с некорректной конфигурацией контролируемых систем и которые создают риски нарушения безопасности.
В FLR-инцидентах, связанных с отсутствием событий кибербезопасности, теперь указывается связь с источниками в поле «Источник».
В списке инцидентов доступна фильтрация по связанным с FLR источникам. Для этого в разделе с инцидентами нужно установить фильтр «Источник событий» и указать в нем название одного или нескольких источников:
Если вы используете интеграцию с SOC Portal по API, то при запросе карточки FLR-инцидента можете получить структурированный список источников, связанных с ним. Актуальная спецификация API — у сервис-менеджера.
Ввели маркировку комментариев в зависимости от источника и категории пользователя.
Теперь отмечаем комментарии следующим образом:
Что еще улучшили в интерфейсе:
- Вкладки «Инциденты» и «Задачи» на панели навигации объединили в общий раздел «Карточки».
- Продолжили унифицировать наименования полей.
Теперь сервер BI.ZONE EDR можно установить на Ubuntu 24.04 LTS. Это может быть актуально, если вы хотите разместить сервер в инфраструктуре.
Поддерживаемые ОС для установки сервера BI.ZONE EDR: Ubuntu 24.04, Ubuntu 22.04/20.04, ALT Server 10 (Mendelevium), ALT 8 SP Server (cliff), Astra Linux 1.7.5, Centos 7/8 (не рекомендуется), Debian 10.13, Debian 12.x.
Разработали инструкцию по установке агента с параметром Portable. Теперь заказчик может проверить работу агента заранее — без установки сервера управления EDR.
Разработали инструкции:
- По сбору диагностической информации с гипервизора при проблемах подключения к виртуальным машинам с Windows хостами. Инструкция доступна в разделе «Документация» в личном кабинете (SOC-Portal).
- По сбору BSOD-дампов при зависании и аварийном отключении Windows хостов. Перейти к инструкции.
Инструкции, как настроить отправку событий с источников, доступны в разделе «Документация». Всего разработали более 30 новых инструкций, из них более 20 для клиентов, использующих MP SIEM (отмечены тегом MP SIEM).
