BI.ZONE EDR — решение класса endpoint detection and response для выявления и расследования сложных целевых атак на раннем этапе их развития. Решение отслеживает любую активность на конечных точках и находит аномальную, чтобы выявлять действия злоумышленников и оперативно реагировать на инциденты. BI.ZONE EDR работает со всеми популярными операционными системами: Windows, Linux (включая российские дистрибутивы) и macOS. Продукт включен в реестр отечественного ПО Минцифры и сертифицирован ФСТЭК России.
Возможности
Выявление подозрительной активности за счет глубокой телеметрии
BI.ZONE EDR непрерывно контролирует все происходящее на конечных точках. Решение позволяет собирать и анализировать более 40 событий инвентаризации (информация об установленном ПО, открытых портах, подключенном оборудовании и др.) и 180 событий мониторинга (изменения в системных файлах, попытки эскалации привилегий и др.). Такой подход обеспечивает высокую точность обнаружения подозрительной активности и минимизирует вероятность пропустить инцидент.
Раннее обнаружение сложных атак за счет накопленного опыта сервисов BI.ZONE
BI.ZONE EDR применяет различные технологии детектирования (IoC, YARA, IoA), поведенческий анализ, корреляцию событий и включает большую библиотеку правил автоматического обнаружения угроз, чтобы на ранних этапах выявлять атаки любой сложности, включая целевые атаки и сложные многоступенчатые цепочки компрометации.
Эффективное реагирование на атаки за счет гибких инструментов
В случае обнаружения угрозы BI.ZONE EDR предоставляет инструменты для оперативного реагирования: изолирование устройств от сети (с сохранением доступа через сервер управления), завершение вредоносных процессов, блокировку подозрительных файлов, откат изменений, внесенных злоумышленником. Это сокращает время и стоимость реагирования, позволяет быстро остановить атакующего.
Обнаружение недостатков конфигураций ОС и ПО
BI.ZONE EDR автоматически анализирует параметры безопасности конечных точек, выявляет отклонения от заданных параметров (мировые, отечественные, корпоративные стандарты), ошибки в настройках ОС и приложений. Это позволяет устранять слабые места в безопасности до того, как злоумышленники их используют.
Преимущества
- Уникальная телеметрия. Сбор 180+ событий мониторинга и 40+ событий инвентаризации.
- Безопасность в контейнерной среде. Мониторинг происходящего в контейнерах и работа в кластерах Kubernetes.
- Гибкие политики мониторинга. Возможность расширения правил телеметрии и выявления угроз.
- Управляемая нагрузка на хосты. Современные технологии сбора телеметрии, готовые профили потребления, помимо прочего, для Linux, оптимизированные под бизнес-системы.
- Хостовые приманки. Создание подложных объектов‑приманок, неотличимых от реальных объектов инфраструктуры, для обнаружения атакующего.
- Поиск недостатков конфигураций ОС и ПО. Выявление ошибок в настройках приложений и ОС, а также отклонений от заданных параметров.
- Threat hunting. Выявление аномалий и косвенных признаков компрометации до того, как злоумышленники причинят значительный ущерб.
