BI.ZONE EDR

BI.ZONE EDR - решение для защиты конечных точек от сложных угроз.

Решения класса EDR отслеживают любую активность на конечных точках и находят аномальную, что позволяет выявлять действия злоумышленников и оперативно реагировать на инциденты.

BI.ZONE EDR обнаруживает угрозы на ранних этапах и предоставляет инструменты для активного ручного или автоматического реагирования:

1. Выявление сложных атак на ранних этапах

Разнообразие технологий детектирования и большая библиотека правил автоматического обнаружения угроз позволяют на ранних этапах выявлять атаки любой сложности, которые обходят классические превентивные СЗИ

2. Увеличение прозрачности конечных точек

Решение фиксирует все происходящее на конечных точках в реальном времени, что позволяет провести реагирование и проследить всю цепочку атаки

3. Повышение эффективности реагирования

Множество встроенных инструментов позволяет реагировать на инциденты вручную, автоматизированно и автоматически. Это сокращает время и стоимость реагирования, позволяет быстро остановить атакующего

4. Обеспечение проактивного поиска угроз

Интерфейс поиска в едином хранилище телеметрии дает возможность ретроспективного исследования событий для threat hunting — выявления неизвестных угроз, невидимых для правил автоматического обнаружения

5. Обнаружение недостатков конфигурации

Непрерывное выявление на хостах ПО с небезопасными настройками или уязвимостями, которые активно используют киберпреступники

Возможности:

Мониторинг инфраструктуры

• Обработка более 200 типов событий мониторинга и инвентаризации
• Гибкое обогащение телеметрии всем необходимым контекстом для взвешенного принятия решений, например информацией о контейнерах
• Тонкое управление политикой сбора телеметрии, в том числе для высоконагруженных систем
• Обогащение событий данными киберразведки с помощью портала BI.ZONE Threat Intelligence

Все собранные данные используются для проактивного поиска угроз (threat hunting)

Обнаружение угроз

• Автоматизированное выявление угроз на базе IoC, поведенческих IoA и YARA‑правил
• Сопоставление найденного с матрицей MITRE ATT&CK
• Функционирование и при недоступности сервера
• Возможность создания пользовательских правил обнаружения
• Модуль Deception для более эффективного детектирования угроз
• Выявление критических недостатков конфигурации инфраструктуры

Реагирование на инциденты

• Интерактивная консоль с заданным хостом для реагирования в реальном времени
• Автоматизированное реагирование, не зависящее от связи с сервером
• Библиотека готовых популярных задач реагирования
• Сдерживание активного инцидента: завершение подозрительных процессов, сетевая изоляция хостов
• Устранение последствий инцидента: удаление файлов, записей автозапуска и иных следов вредоносной активности
• Сбор данных для расследования
• Запуск программ и скриптов для задач реагирования
• Ретроспективный анализ телеметрии
• Разработка правил автоматической блокировки угроз и многошаговых задач по реагированию (плейбуки)

Преимущества:

1. Собственный агент для всех ОС, позволяющий генерировать телеметрию без сторонних решений
2. Библиотека готовых профилей сбора телеметрии для быстрого начала работы
3. Возможность адаптации этих профилей под особенности любых инфраструктур и систем, в том числе высоконагруженных
4. Интерактивная консоль с заданным хостом для реагирования в реальном времени
5. Выявление не только атак, но и недостатков системы, которые могут привести к ним
6. Экспертный опыт специалистов всех сервисов по обнаружению угроз от BI.ZONE в одном продукте