BI.ZONE EDR расширяет возможности по оценке конфигурации безопасности на конечных точках
Среди ключевых изменений также проработано расширение возможностей по сбору данных и автономному реагированию в агенте BI.ZONE EDR для Windows, а автономное детектирование индикаторов атаки стало доступно на macOS.
В агенте BI.ZONE EDR для macOS были расширены возможности автономного детектирования индикаторов атаки (indicators of attack, IoA). В отличие от индикаторов компрометации (indicators of compromise, IoC), которые указывают, что система уже скомпрометирована, IoA фокусируются на обнаружении признаков активной атаки до того, как она нанесет ущерб. Корреляционные правила поиска IoA в BI.ZONE EDR для macOS включают в себя анализ попыток эксплуатации уязвимостей, выявление необычных сетевых запросов, фиксирование подозрительных изменений в системе и т. д.
Следующим важным изменением стало добавление модуля «Рекомендации по безопасности». Модуль доступен в версиях BI.ZONE EDR для всех операционных систем и позволяет оценить конфигурацию безопасности на конечных точках и выявить их слабые места, которые пользователь сможет в дальнейшем устранить для уменьшения поверхности атаки.
Оценка конфигурации безопасности предполагает проверку того, насколько системы соответствуют заранее определенным правилам настроек конфигурации. Кроме того, модуль «Рекомендации по безопасности» также выявляет учетные записи со слабыми паролями.
В обновленном агенте BI.ZONE EDR для Windows появилась возможность получать в виде событий телеметрии вывод запуска произвольной команды. Пользователь продукта может настроить расписание запуска требуемой команды или команд и параметры парсинга вывода их работы. В результате EDR будет отправлять вывод команд в виде событий телеметрии, которые могут быть использованы в IoA‑правилах. Это дает возможность реализовывать сценарии обнаружения угроз в условиях, когда для логики правила недостает событий телеметрии EDR, но при этом в составе операционной системы есть требуемые инструменты, благодаря которым задачу можно решить. Аналогичные возможности ранее уже были реализованы в агентах для Linux и macOS.
Помимо сбора телеметрии, в агенте для Windows были расширены возможности автономного реагирования. Теперь в рамках автономного реагирования при срабатывании IoA‑правила можно запустить любую команду или процесс (например, собственный скрипт), что позволяет реализовывать большое количество сценариев автоматического реагирования.
Кроме того, в обновленной версии BI.ZONE EDR для macOS добавился ряд новых событий телеметрии — модификация расширенных атрибутов файловой системы и изменения владельца или группы файлового объекта. А в Windows появилась возможность читать данные из произвольных журналов Windows Events Log. Также продолжается работа над пользовательским интерфейсом сервера управления, в результате чего временные затраты на рутинные операции по диагностике проблем удалось сократить на 30%.
Ранее BI.ZONE представила коробочную версию BI.ZONE EDR. Она предназначена для компаний, которые предпочитают не работать с сервис‑провайдером, а самостоятельно решать задачи по мониторингу и реагированию с использованием передовых инструментов. До этого возможности решения были доступны исключительно в составе сервиса по мониторингу кибербезопасности BI.ZONE TDR.