Byte/RE ИТ-издание

Модуль «Рекомендации по безопасности» в BI.ZONE EDR

Компания BI.ZONE анонсировала обновленную версию BI.ZONE EDR, включающую новый модуль «Рекомендации по безопасности». Он доступен во всех ОС и позволяет оценить конфигурацию ОС и ПО на конечных точках, а также выявить их уязвимые места и учетные записи со слабыми паролями. Среди других ключевых изменений – расширение возможностей сбора данных и автономного реагирования в агенте BI.ZONE EDR для Windows, а автономное детектирование индикаторов атаки стало доступно на macOS.

В агенте BI.ZONE EDR для macOS расширены возможности автономного детектирования индикаторов атаки (indicators of attack, IoA). В отличие от индикаторов компрометации (indicators of compromise, IoC), которые указывают, что система уже скомпрометирована, IoA фокусируются на обнаружении признаков активной атаки до того, как она нанесет ущерб. Корреляционные правила поиска IoA в BI.ZONE EDR для macOS включают в себя анализ попыток эксплуатации уязвимостей, выявление необычных сетевых запросов, фиксирование подозрительных изменений в системе и т. д.

Важное изменение – добавление модуля «Рекомендации по безопасности». Он доступен в версиях BI.ZONE EDR для всех операционных систем и позволяет оценить конфигурацию безопасности на конечных точках и выявить их слабые места, которые в дальнейшем можно устранить для уменьшения поверхности атаки.

Оценка конфигурации безопасности предполагает проверку того, насколько системы соответствуют заранее определенным правилам настроек конфигурации. Кроме того, модуль «Рекомендации по безопасности» выявляет учетные записи со слабыми паролями.

В обновленном агенте BI.ZONE EDR для Windows появилась возможность получать в виде событий телеметрии вывод запуска произвольной команды. Пользователь продукта может настроить расписание запуска требуемой команды или команд и параметры парсинга вывода их работы. В результате EDR будет отправлять вывод команд в виде событий телеметрии, которые могут быть использованы в IoA-правилах. Это дает возможность реализовать сценарии обнаружения угроз в условиях, когда для логики правила недостает событий телеметрии EDR, но при этом в составе ОС есть требуемые инструменты, благодаря которым задачу можно решить. Аналогичные возможности ранее были реализованы в агентах для Linux и macOS.

Помимо сбора телеметрии, в агенте для Windows расширены возможности автономного реагирования. Теперь в рамках автономного реагирования при срабатывании IoA-правила можно запустить любую команду или процесс (например, собственный скрипт), что позволяет реализовать большое количество сценариев автоматического реагирования.

Кроме того, в обновленной версии для macOS добавился ряд новых событий телеметрии – модификация расширенных атрибутов файловой системы и изменения владельца или группы файлового объекта. А в Windows появилась возможность читать данные из произвольных журналов Windows Events Log. Также продолжается работа над пользовательским интерфейсом сервера управления, в результате чего затраты времени на рутинные операции по диагностике проблем удалось сократить на 30%.