Двухфакторная аутентификация в BI.ZONE EDR
Компания BI.ZONE сообщила, что в ее EDR-решении появились двухфакторная аутентификация и ряд функций, повышающих эффективность мониторинга угроз. Среди них – поддержка мониторинга чтения значений из реестра и гибкая настройка агрегации и троттлинга в агенте для Windows. В агенте для Linux расширен перечень собираемых файловых событий в контейнерных средах на базе провайдера eBPF. Кроме того, BI.ZONE EDR стало проще интегрировать с SIEM-системами благодаря новой возможности отправки данных параллельно в несколько назначений.
Чтобы обеспечить дополнительный уровень безопасности на сервере управления, в коробочной версии BI.ZONE EDR добавлена функция двухфакторной аутентификации. Если включить эту функцию, при доступе в интерфейс сервера будет запрашиваться не только пароль учетной записи, но и одноразовый код, сгенерированный по алгоритму TOTP (time-based one-time password) и действительный в течение короткого промежутка времени. Таким образом, даже если злоумышленник получит пароль пользователя, учетная запись будет защищена от несанкционированного доступа.
Другое ключевое изменение, затронувшее сервер управления EDR, – добавленная возможность отправки данных телеметрии и обнаружения параллельно в несколько назначений с использованием syslog или Kafka. Это позволяет реализовать различные сценарии интеграции с системами управления событиями кибербезопасности (SIEM).
Чтобы обеспечить эффективный мониторинг актуальных угроз и реагирование на них, в BI.ZONE EDR постоянно расширяется объем собираемой телеметрии. Так, в агенте BI.ZONE EDR для Windows появилась возможность отслеживать попытки чтения критичных значений из реестра.
Другие изменения телеметрии в агенте для Windows касаются добавления новых инвентаризационных источников данных, а для ряда существующих источников – новых параметров, которые повышают точность обнаружения атак. В частности, была добавлена возможность инвентаризации доменных учетных записей с возможностью обнаружения слабых паролей у пользователей. Это повышает защищенность доменной инфраструктуры от брутфорс-атак (с помощью перебора паролей).
Помимо расширения телеметрии, в агенте развиваются возможности, позволяющие более эффективно управлять потоком собираемой телеметрии. В новой версии агента BI.ZONE EDR для Windows появилась возможность гибко настраивать агрегацию и троттлинг событий. Это снижает нагрузку на конечную точку, сеть и хранилище EDR-телеметрии при помощи фильтрации повторяющихся событий. Кроме того, появилась возможность создавать агрегационные события на основании данных, которые были накоплены из повторяющихся событий.
В агенте BI.ZONE EDR для Linux добавлена возможность сбора событий удаления файла, переименования файла и событий изменения прав доступа к файлу в контейнерах на базе провайдера eBPF. Это повышает возможность выявления угроз в контейнерных средах.
Кроме того, по результатам проведенного UX-исследования доработан пользовательский интерфейс решения.