В BI.ZONE EDR появились двухфакторная аутентификация и ряд функций, повышающих эффективность мониторинга угроз — Игнатий Цукергохер

В BI.ZONE EDR появились двухфакторная аутентификация и ряд функций, повышающих эффективность мониторинга угроз

Среди них — поддержка мониторинга чтения значений из реестра и гибкая настройка агрегации и троттлинга в агенте для Windows. В агенте для Linux был расширен перечень собираемых файловых событий в контейнерных средах на базе провайдера eBPF. Кроме того, BI.ZONE EDR стало проще интегрировать с SIEM-системами благодаря новой возможности отправки данных параллельно в несколько назначений.

Чтобы обеспечить дополнительный уровень безопасности на сервере управления, в коробочной версии BI.ZONE EDR добавилась функция двухфакторной аутентификации. Если включить эту функцию, при доступе в интерфейс сервера будет запрашиваться не только пароль учетной записи, но и одноразовый код, сгенерированный по алгоритму TOTP (time-based one-time password) и действительный только в течение короткого промежутка времени. Таким образом, даже если злоумышленник получит пароль пользователя, учетная запись будет защищена от несанкционированного доступа.

Другое ключевое изменение, затронувшее сервер управления EDR, — добавившаяся возможность отправки телеметрии и обнаружения параллельно в несколько назначений с использованием syslog или Kafka. Это позволяет реализовывать различные сценарии интеграции с системами управления событиями кибербезопасности (SIEM).

Чтобы обеспечить эффективный мониторинг актуальных угроз и реагирование на них, в BI.ZONE EDR постоянно расширяется объем собираемой телеметрии. Так, в агенте BI.ZONE EDR для Windows появилась возможность отслеживания попыток чтения критичных значений из реестра.

«Новая функция позволяет отслеживать попытки несанкционированного доступа к хранящимся в реестре WIndows высококритичным настройкам программ и содержащейся в них чувствительной информации, например паролям от учетных записей. Это позволит повысить эффективность обнаружения различных утилит дампа учетных данных пользователей», — рассказал Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE.

Другие изменения телеметрии в агенте для Windows касаются добавления новых инвентаризационных источников данных, а для ряда существующих источников — новых параметров, которые повышают точность обнаружения атак. В частности, была добавлена возможность инвентаризации доменных учетных записей с возможностью обнаружения слабых паролей у пользователей. Это позволяет повысить защищенность доменной инфраструктуры к брутфорс-атакам, т. е. атакам, реализуемым с помощью перебора паролей.

Помимо расширения телеметрии, в агенте также развиваются и возможности, позволяющие более эффективно управлять потоком собираемой телеметрии. В новой версии агента BI.ZONE EDR для Windows появилась возможность гибко настраивать агрегацию и троттлинг событий. Это позволяет снизить нагрузку на конечную точку, сеть и хранилище EDR-телеметрии при помощи фильтрации повторяющихся событий. Кроме того, появилась возможность создавать агрегационные события на основании данных, которые были накоплены из повторяющихся событий.  

В агенте BI.ZONE EDR для Linux была добавлена возможность сбора событий удаления файла, переименования файла и событий изменения прав доступа к файлу в контейнерах на базе провайдера eBPF. Это повышает возможность выявления угроз в контейнерных средах.

Кроме того, по результатам проведенного UX-исследования был доработан пользовательский интерфейс решения. Ранее BI.ZONE представила коробочную версию BI.ZONE EDR. Она предназначена для компаний, которые предпочитают не работать с сервис-провайдером, а самостоятельно решать задачи по мониторингу и реагированию с использованием передовых инструментов. До этого возможности решения были доступны исключительно в составе сервиса по мониторингу кибербезопасности BI.ZONE TDR.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *