BI.ZONE EDR
BI.ZONE EDR — полнофункциональное решение класса EDR (Endpoint Detection and Response), позволяющее защитить конечные точки IT-инфраструктуры автоматически и вручную. Оно обнаруживает угрозы на ранних этапах и предоставляет инструменты для моментального реагирования на них.
Фиксирует активность каждой конечной точки в реальном времени, что позволяет искать следы атаки по всей сети, а также проводить ретроспективный анализ
Помогает обнаружить сложные атаки, невидимые для традиционных средств защиты, за счет глубины собираемых данных телеметрии и обширной библиотеки правил автоматического выявления угроз
Дает специалистам отдела КБ необходимые инструменты для ручного поиска угроз (Threat Hunting). Это позволяет обнаруживать новые неизвестные угрозы, для которых еще нет правил автоматического выявления
Разнообразие встроенных инструментов позволяет реагировать на выявляемые угрозы как в ручном, так и в автоматическом режиме. Это экономит время специалистов отдела КБ и разгружает их, а также обеспечивает круглосуточную защиту IT-инфраструктуры
Этапы работы
- Автоматическое выявление угроз на базе IoC, поведенческих (IoA, Indicators of Attack) и YARA-правил
- Сопоставление с матрицей MITRE ATT&CK
- Непрерывный сбор данных телеметрии для анализа
- Обогащение журнала событий данными киберразведки Threat Intelligence на базе платформы BI.ZONE ThreatVision
Все собранные данные используются для последующего автоматического и ручного выявления угроз (Threat Hunting)
- Интерактивная консоль с заданным хостом для реагирования в режиме реального времени (Live Response)
- Сдерживание активного инцидента — завершение вредоносных процессов, сетевая изоляция, карантин вредоносных файлов
- Устранение последствий инцидента — удаление файлов, записей автозапуска и иных следов вредоносной активности
- Сбор данных для расследования
- Запуск программ и скриптов
- Ретроспективный анализ
- Разработка правил автоматической блокировки угроз
Автоматическая блокировка и нейтрализация угроз на основе заданных правил
- Завершение подозрительного процесса
- Удаление вредоносного файла
- Блокировка попыток запустить файл, выполнить скрипт или макрос, открыть документ или установить сетевое соединение
- Сетевая изоляция
Возможности
BI.ZONE EDR позволяет нейтрализовать инцидент еще до нанесения ущерба. Продукт централизованно собирает подробные данные телеметрии по активности на конечных точках. Это дает возможность восстановить хронологию инцидента без дорогостоящей компьютерной криминалистики
BI.ZONE EDR собирает всесторонние данные телеметрии с конечных точек сети, позволяя выявить даже незначительные аномалии в работе и восстановить подробный сценарий действий злоумышленника. Это существенно сокращает среднее время обнаружения инцидентов (MTTD) и среднее время реагирования на них (MTTR)
BI.ZONE EDR позволяет не только реагировать на уже случившиеся инциденты, но и предотвращать их благодаря библиотеке правил автоматической блокировки угроз, разрабатываемых экспертами BI.ZONE. Также у пользователей есть возможность создавать такие правила самостоятельно
Компоненты системы
- Управляет агентами / группами агентов, политиками и задачами
- Взаимодействует с заданным хостом через интерактивную консоль
- Управляет фидами правил сбора данных телеметрии и автоматического предотвращения угроз, а также IoC и YARA-правил
- Хранит внутреннюю библиотеку исполняемых файлов и скриптов, которые используются в будущих задачах по реагированию
- Предоставляет обновления для агентов
- Централизованно собирает данные телеметрии Threat Hunting
- Собирает данные о сетевой активности и процессах, события из журналов ОС
- Следит за файловой системой, реестром, вызовами WinAPI-функций, памятью, автозапуском, подключаемыми устройствами, боковыми перемещениями (Lateral Movement)
- Собирает инвентаризационные данные с конечных точек (пользователи и группы, установленное ПО, обновления, аппаратное обеспечение и другое)
- Выполняет задачи по реагированию, полученные с сервера BI.ZONE EDR, и возвращает на него результаты
- Проводит YARA- и IoC-сканирования
- Изолирует конечную точку без потери связи с сервером управления
- Автоматически блокирует угрозы на основе заданных правил
Агент BI.ZONE EDR поддерживает операционные системы Windows, Linux и macOS
Личный кабинет
Экспертный сервис по мониторингу и реагированию на инциденты кибербезопасности
В то же время, чтобы обнаруживать сложные киберинциденты и реагировать на них, нужны эксперты. При этом они должны быть компетентны в областях выявления инцидентов КБ, Threat Hunting и компьютерной криминалистики. Вы можете сэкономить ресурсы на найме таких специалистов, подключив экспертный сервис по мониторингу и реагированию на киберугрозы BI.ZONE Threat Detection and Response (TDR).
Сертификаты
Как попробовать
-
Мы проведем брифинг, продемонстрируем возможности продукта и ответим на ваши вопросы
-
Поможем провести пилотирование
Агенты BI.ZONE EDR устанавливаются на конечные точки (серверы и рабочие станции) в вашей IT-инфраструктуре
Агенты BI.ZONE EDR устанавливаются на конечные точки (серверы и рабочие станции) в вашей IT-инфраструктуре
Мониторинг конкретных объектов и процессов зависит от ОС конечного устройства.
- Объекты файловой системы и реестра
- Сетевая активность
- Процессы
- События WMI
- Изменения параметров системы
- Объекты файловой системы
- Процессы
- Модули ядра
- Сетевые события
- Пользователи и группы
- Объекты автозапуска
- Общее состояние ОС
- Объекты файловой системы и реестра (с возможностью периодической инвентаризации)
- Сетевые события
- Процессы, потоки и драйверы
- Сервисы
- Установленное ПО и пакеты обновления
- Пользователи
- Планировщик Windows
- События WMI, BITS и ETW
- Изменения параметров системы
- Состояние самозащиты агента BI.ZONE EDR
Помимо прочего, этот модуль сканирует объекты файловой системы и процессы на основе YARA‑правил. Это позволяет принять меры против вредоносных объектов в автоматическом режиме — например, остановить процесс или удалить файл
- Объекты файловой системы
- Процессы
- Модули ядра
- Пользователи и группы
- Объекты автозапуска
- Общее состояние ОС
- Создание ловушек на конечных точках и в домене
- Контроль целостности ловушек
- Удаление ловушек
- Генерация событий с информацией об установленных ловушках и о текущем состоянии модуля
Видео
BI.ZONE EDR: что нового
Запись вебинара от 26 июля 2023 г.
#вебинар
На вебинаре Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, рассказал об изменениях BI.ZONE EDR в первом полугодии 2023 года. Также спикер провел демонстрацию продукта, ответил на вопросы и поделился планами по развитию. В видео используется предыдущее название BI.ZONE EDR — BI.ZONE Sensors
High-stakes EDR — опыт коммерческого SOC
Доклад представителей BI.ZONE и Angara SOC на SOC-форуме 2022
#мероприятия #технологии #продукты #сотрудничество
В рамках SOC-форума 2022 Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз в BI.ZONE, и Тимур Зиннятуллин, директор центра киберустойчивости Angara SOC, рассказали, как выстраивали Angara SOC с использованием BI.ZONE EDR, что пришлось сделать для развития системы кибербезопасности и с какими проблемами столкнулись
EDR не для «чайников»
SOC-форум 2022
#мероприятия #технологии
SOC-форум 2022