Обновленное решение BI.ZONE EDR

--> Дата: Фев 19, 2026 0

Компания BI.ZONE представила обновление своего решения BI.ZONE EDR – версию 1.39. Она направлена на повышение удобства работы специалистов по кибербезопасности и ускорение анализа инцидентов за счет развития интерфейса, расширения возможностей threat hunting и усиления механизмов реагирования в Linux- и Windows-средах.

Добавилась новая ключевая технология – выявление угроз по индикаторам компрометации. Теперь пользователи могут применять данные киберразведки для обнаружения известных угроз, осуществлять интеграции со сторонними провайдерами IoC, оперативно добавляя индикаторы в мониторинг. Функция позволяет ускорить ответную реакцию SOC на появление информации о новых угрозах.

В новой версии BI.ZONE EDR реализована сетевая изоляция для Linux-узлов, что расширяет возможности реагирования в гетерогенных инфраструктурах. Подозрительные или скомпрометированные хосты могут быть оперативно переведены в изолированный режим без потери связи с сервером управления и без остановки передачи телеметрии. Это позволяет быстро останавливать развитие атаки и одновременно продолжать расследование.

Дополнительно для Windows и Linux теперь доступно управление правилами сетевых исключений для изолированных устройств. Это позволяет сохранять доступ только к критически важным сервисам даже в режиме изоляции – например, для обновления на хостах других средств защиты, а также для доступа с АРМ администраторов с целью оперативного расследования инцидентов.

В плане развития алгоритмов поведенческого выявления угроз на конечных точках одно из ключевых изменений – существенное расширение функциональных возможностей по выявлению угроз, связанных с взаимодействием конечной точки с инфраструктурой злоумышленника. Существующих подходов к мониторингу вредоносных сетевых обращений становится недостаточно: злоумышленники адаптируют механизмы взаимодействия с С2 под средства защиты так, чтобы коммуникация оставалась незамеченной. Из-за этого необходима углубленная инспекция исходящих сетевых соединений. Улучшение позволяет ориентироваться в детектирующих алгоритмах на характеристики устанавливаемых TLS-соединений, в которых могут фигурировать JA*-отпечатки сетевой инфраструктуры злоумышленников, а также закладывает фундамент для улучшений сетевых технологий выявления угроз на конечных точках.

В версии 1.39 также обновлен модуль Deception. Переработка архитектуры позволила расширить список поддерживаемых ОС: теперь приманки полноценно работают не только в Windows-, но и в Linux-средах, что делает технологию доступной для большей части инфраструктуры и улучшает возможности выявления атак на более раннем этапе.

Кроме того, расширен набор доступных приманок. Помимо подложных учетных данных, система теперь поддерживает эмуляцию файловых объектов. Это позволяет выстраивать более реалистичные сценарии вовлечения злоумышленника – можно, например, размещать приманки в виде псевдодампов баз данных или других «ценных» файлов. Любая активность с такими объектами немедленно фиксируется системой и может служить ранним индикатором компрометации.

В версии 1.39 расширены инструменты для проведения точечных расследований на Windows-узлах. Функция разовых задач позволяет оперативно собирать инвентаризационные данные – информацию о процессах, службах, сетевых соединениях, автозагрузке и других артефактах, важных для анализа инцидента. Кроме того, разовые задачи поддерживают запуск сканирования с использованием YARA-правил и индикаторов компрометации, что ускоряет подтверждение компрометации и поиск следов присутствия злоумышленника.

В разделе «События» для работы с сырой телеметрией появился поиск по относительным временным интервалам – например, «Последние 30 минут» или «Последние 6 часов». Функция позволяет ускорить и упростить процесс оперативного threat hunting.

Доработан интерфейс конструктора запросов и менеджера сохраненных запросов. Названия полей теперь динамически адаптируются в зависимости от выбранного режима отображения, что делает работу удобной как для начинающих аналитиков, так и для опытных специалистов SOC. Дополнительно расширен набор преднастроенных поисковых запросов для выявления аномалий и подозрительной активности.