В новой версии BI.ZONE EDR улучшены механизмы выявления угроз

Мы расширили возможности детектирования сложных угроз на Windows. А для Linux‑агента добавили функции мониторинга операций над объектами инвентаризации и интеграцию с контейнерными средами Podman. Также теперь можно автоматизировать задачи с помощью расписания

14 февраля 2025 г.

В обновленной версии BI.ZONE EDR появилась возможность настраивать расписание запуска задач. Повторяющиеся рутинные задачи (например, регулярное сканирование операционной системы YARA‑правилами) теперь могут выполняться автоматически по заданному расписанию.

В версии BI.ZONE EDR для Windows появились новые функции, которые значительно расширяют возможности построения сложных алгоритмов для выявления вредоносного поведения на устройстве. Теперь можно динамически присваивать произвольные пользовательские атрибуты объектам процессов и файлов, а также гибко сохранять произвольные данные для дальнейшего обращения и работы с ними. Например, это позволяет «запоминать» текущее состояние отдельных атрибутов объектов ОС, чтобы в дальнейшем использовать эти данные в логике выявления угроз. Эти доработки помогают выстраивать более сложные детектирующие алгоритмы, в рамках которых необходима ретроспективная контекстная информация об исследуемых объектах, а также где необходима логика обнаружения, выстроенная на цепочках событий.

В обновленной версии нашего EDR‑решения мы расширили возможности детектирования сложных угроз на Windows, добавили интеграцию с контейнерными средами Podman, а также реализовали возможность автоматизации задач с помощью расписания. Эти нововведения помогут нашим клиентам усилить защиту своей инфраструктуры и упростить выполнение повседневных задач.

Теймур Хеирхабаров

Руководитель департамента мониторинга, реагирования и исследования киберугроз

Среди ключевых изменений в версии BI.ZONE EDR для Linux стоит выделить мониторинг операций над объектами инвентаризации. Эта функция позволяет осуществлять непрерывный мониторинг изменений в критических объектах ОС. Кроме информации о процессе — инициаторе операции, будут доступны данные как о самом измененном объекте, так и о том, какие изменения были внесены, например информация, какой именно параметр был изменен в конфигурационном файле.

Кроме того, в новой версии продукта получили дальнейшее развитие возможности автономного реагирования на Linux. В рамках процесса реагирования пользователь может запустить любую произвольную команду, а также получить результат ее выполнения. Это позволяет не ограничиваться исключительно встроенным набором функций по реагированию, а при необходимости также использовать собственные скрипты, если этого требует специфика IT‑инфраструктуры или процессов компании.

Для модуля Linux также была реализована поддержка контейнерного движка Podman. Это расширило возможности для управления событиями и их анализа в контейнерной среде. В частности, пользователям и администраторам стали доступны такие события, как инвентаризация запущенных и остановленных контейнеров, факт запуска или остановки контейнера, а также обогащение событий запусков процессов и обращений к файлам данными о контейнере. На данный момент в BI.ZONE EDR поддерживается мониторинг трех контейнерных движков: Docker, ContainerD, Podman.

Другие важные обновления BI.ZONE EDR — новые события телеметрии и возможности их обогащения, графический интерфейс агента управления для Windows, который отображает перечень установленных модулей, связь с сервером, состояние самозащиты и сетевой изоляции, улучшения механизмов сбора телеметрии в Linux (сбор событий процессов через eBPF), а также улучшения в рамках производительности решения на Linux-платформах за счет внедрения механизмов кеширования и ряда оптимизаций механизмов сбора инвентаризационной информации.

Ранее эксперты BI.ZONE EDR представили исследование, согласно которому две трети хостов в российских компаниях имеют как минимум одну опасную мисконфигурацию, которая с высокой вероятностью может привести к успешной кибератаке. Чаще всего встречаются различные нарушения парольной политики.