Новые функции в Universal Virus Sniffer (uVS) - Страница 20 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55

alamor

Причём здесь системные файлы ?

Прежде чем написать стоит подумать !

Если сигнатура извлекалась из файла exe или sys а сработала на файл dll ( или наоборот )

В моём предложении можно задать практически любое соответствие из возможных.

Директория файла; Данные реестра; расширение; производитель; наличае/отсутствие подписи; время создания/изменения; сетевая активность.

Постоянное имя файла - ( например рекламный модуль )

Статус: Скрытый/Системный

И прочее...

Всякого рода "защитники" Сигнатура + PRAETORIAN.EXE

+ Работает: И < > ИЛИ

Огромные возможность - отпадает необходимость в корректировке длины сигнатуры. ( Для прочих можно применить режим исключения )

Сигнатура может работать как маркер-определитель, а сам файл удалять через delall.

Если бы собиралась информация по структуре файла ( зашифрован Да/Нет ) - это ещё даёт преимущество в определении.

Чем больше информации собрано по файлу - тем чётче и качественнее можно задать соответствие файл+сигнатура.

Избежать ложных определений.

Чётко идентифицировать проблему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Периодически возникал вопрос, что под глобальные изменения необходимо менять структуру баз.

Как это можно обойти ?

Мой вариант решения:

Есть база критериев, есть база сигнатур.

Есть ОБЩИЙ маркер ( своего рода ID )

Маркер например: BF198A

Маркер BF198A есть в базе сигнатур.

Маркер BF198A есть в базе критериев.

Поиск...

Маркер найден.

При совпадении/нахождении его в базах: sgnz < > snms информация источников-баз объединяется на время сессии.

т.е. Задали сигнатуру + критерий ( так как это показано на фото )

Получили идентификатор.

Как обычно сохранилась сигнатура.

Как обычно сохранились критерии.

+

Добавляется общий идентификатор - принадлежности в каждую из баз.

Demkd - Как это предложение в целом ?

Хотелось бы получить ответ.

Если не подходит - я по этому вопросу писать не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

такие вещи, надо хотя бы на примере пояснять, чтобы приблизительно понять: есть ли различие у данной гипотезы_предложения

между той что в голове автора предложения и той, что в конце концов вылилась на бумагу.

-----------

вес детекта, естественно будет выше, если помимо сигнатурного детекта, есть еще детект по критериям, но смешивать сигнатуры и критерии не надо. Визуально сигнатура ничего не дает в критерии. Хотя и имеет приоритет над критерием.

какой такой id надо еще добавить для связи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Это если с участием 2-х баз ( без их существе ной модификации )

Система:

Срабатывает сигнатура.

У Всех сигнатур есть ID ( т.е. её сигнатуры Уникальный идентификатор )

В роли/качестве ID Может выступать уникальное имя/наименование сигнатуры.

или некий ID который программа автоматически генерирует и присваивает сигнатуре и затем критерию/условию.

или ID - задаёт оператор.

Сам Критерий также получает - имеет свой ID

ID Критерия равен ID Сигнатуры ( один - общий ID )

Для чего нужен ID - ?

Для распознавания - определения Взаимосвязанных объектов при работе с разными базами.

В данном случае связь между сигнатурой и критерием.

Сработала сигнатура ( которая имеет свой ID ) > Идёт поиск идентичного ID в базе критериев > Работает заданное оператором условие критерий/определение.

Есть соответствие, или нет > По результату автоматически принимается решение - т.е. будет детект или нет.

Santy пишет: но смешивать сигнатуры и критерии не надо.

В том и дело !

Нет смешения.

Есть две разные базы: sgnz и snms

Один общий идентификатор.

А хранение информации порознь.

Только ID позволяет ОБЪЕДИНИТЬ нужные данные ИЗ этих баз в одно целое на время сессии.

Santy пишет: Визуально сигнатура ничего не дает в критерии. Хотя и имеет приоритет над критерием.

Фактически Речь не о сигнатуре в критерии, а о критерии в сигнатуре.

Но это условно.

Одного нет без другого - В РАМКАХ УСЛОВИЯ - нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет: такие вещи, надо хотя бы на примере пояснять.

Пояснение дано выше.

+ фото пример: Как можно работать с базами не внося в их структуру/работу незапланированных разработчиком изменений.

Обычные данные, которые находятся > сопоставляются > считываются и применяются.

P.S.

Кроме того, прошу ВСЕХ дать пояснение - кто и как видит/понимает моё предложение - ясен ли теперь его смысл ?

Ясны ли преимущества данного подхода ?

Что ещё по данному вопросу требуется пояснить ?

777_.jpg

post-8956-1370200411_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Есть две разные базы: sgnz и snms

Один общий идентификатор.

хорошо, ввел ты одинаковый ID в таблицы сигнатур и критериев. что дальше?

по какому факту ты убудешь устанавливать однозначное соответствие между записью сигнатуры и записью критерия?

(а затем использовать эту связь, как я понимаю, но не вполне понятно с какой целью, для чего нужны подобные ассоциации).

-----------------

по рисунку. привязка сигнатуры к конкретному критерию как раз лишает смысл сигнатурного детектирования. тот же троян Corkow, "сегодня здесь, а завтра там".

сегодня он стартует из сервисной службы, а завтра через rundll32

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет: по какому факту ты будешь устанавливать однозначное соответствие между записью сигнатуры и записью критерия?

Соответствие по имени:

Имя Сигнатуры: PRAETORIAN.EXE

Имя Критерия: PRAETORIAN.EXE

Достаточно надёжно ?

Имя каждого поискового критерия уникально и не повторяется.

На фото это ясно/однозначно показано.

Можно так: PRAETORIAN.EXE 777

Что ещё нужно для распознавания ?

Santy пишет:

По рисунку. привязка сигнатуры к конкретному критерию как раз лишает смысл сигнатурного детектирования. тот же троян Corkow, "сегодня здесь, а завтра там".

Всё написано !

Есть в критерии: ИЛИ .... ИЛИ ... ИЛИ

Сегодня ИЛИ и завтра другое ИЛИ.

+

Возможность скорректировать критерий.

+

Что помешает добавит новую сигнатуру с новым условием/без условия ?

Santy пишет:

Не вполне понятно с какой целью, для чего нужны подобные ассоциации.

1) Увеличение надёжности в целом: определение Сигнатура + Критерий

2) Сведение к _0_ ложных сигнатурных определений.

3) В будущем - возможность АВТОМАТИЧЕСКИ генерировать скрипт по результату проверки - БЕЗ риска ложного определения.

4) Не всё сводиться к вирусам вспомним: PRAETORIAN; PANDORA; TNOD; VKSAVER; MEDIAGET; ... И число ложных определений по ним...

5) Возможность НЕ корректировать длину сигнатуры. ( Корректировку вносит критерий )

6) Расширение функционала программы - речь не идёт о том, что для каждой сигнатуры нужно задать соответствие/условие.

Оператор сам принимает решение - нужно УСЛОВИЕ для данной сигнатуры или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Соответствие по имени:

Имя Сигнатуры: PRAETORIAN.EXE

ok, уточни тогда область применимости для подобных гибридов, поскольку городить все это для того, чтобы вычислить в автозапуске praetorian нет смысла.

Что помешает добавит новую сигнатуру с новым условием/без условия ?

сигнатуры и критерии + проверка VT/JT могут и раздельно без всякой дополнительной связи выполнять свойственные им функции детектирования.

здесь связка выглядит искусственной.

Ты RP55, как В.Ульянов, хочешь на много-много лет вперед смотреть. :)

до автоматической реакции (без участия оператора) еще очень далеко.

1) Увеличение надёжности в целом: определение Сигнатура + Критерий

2) Сведение к _0_ ложных сигнатурных определений.

3) В будущем - возможность АВТОМАТИЧЕСКИ генерировать скрипт по результату проверки - БЕЗ риска ложного определения.

4) Не всё сводиться к вирусам вспомним: PRAETORIAN; PANDORA; TNOD; VKSAVER; MEDIAGET; ... И число ложных определений по ним...

5) Возможность НЕ корректировать длину сигнатуры. ( Корректировку вносит критерий )

6) Расширение функционала программы - речь не идёт о том, что для каждой сигнатуры нужно задать соответствие/условие.

Оператор сам принимает решение - нужно УСЛОВИЕ для данной сигнатуры или нет.

1. оно и так надежно, когда есть независимый детект: сигнатура +критерий + проверка VT/JT

2. за счет увеличения числа критериев.

3. надо вначале довести до автоматизации хотя бы под контролем оператора.

4. зачем детектировать сигнатурами все это. достаточно критериев по инфо + критерии по установленным программам для PANDORA, TNOD, VKSAVER и прочее.

5. плавающая длина сигнатуры - это хорошо. зачем от этого отказываться.

6. слишком много времени будет уходить на подобное связывание, при условии, когда идет активная работа на форуме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет: уточни тогда область применимости...

чтобы вычислить в автозапуске praetorian нет смысла.

В прошлый раз я ровно 6-ть дней кряду доказывал необходимость введения: "ИЛИ" в/для поисковых критериев.

Шесть дней !

Где сейчас её применяют ?

Praetorian - это только частный пример.

:

сигнатуры и критерии + проверка VT/JT могут и раздельно

Раздельно...

Комплекс...

Какая разница между этими словами ?

:

до автоматической реакции (без участия оператора) еще очень далеко.

Если не предпринимать в этом направлении шагов - то будет ещё дальше.

Всё должно идти плавно, постепенно, поступательно.

uVS будет наращивать мускулы...

:

4. зачем детектировать сигнатурами все это. достаточно критериев по инфо + критерии по установленным программам для PANDORA, TNOD, VKSAVER и прочее.

Всё зависит от оператора - у каждого своя методика работы.

Кроме того это пример ( один из возможных вариантов применения )

Достаточно посмотреть кто и как из операторов работает на форумах - Сигнатуры для TNOD, VKSAVER применяются.

:

5. плавающая длина сигнатуры - это хорошо. зачем от этого отказываться.

Кто и где говорил об отказе ???

Я говорил: " _Возможность_ НЕ корректировать длину сигнатуры. ( Корректировку вносит критерий ) "

именно ВОЗМОЖНОСТЬ.

т.е. Критерий блокирует при/если...

Длинна сигнатуры может быть минимальна !

Однако в сочетании с блокирующим критерием это не принципиально.

Речь не о моём предложении в отдельности - предложение для uVS. ( система )

т.е. нужно видеть в комплексе.

Для чего реализовано: 1. Скрыть - Файл скрывается из списка и исключается из всех операций _до выхода_ из uVS

(скриптовая команда "hide")

Как "hide" работает ?

:

6. слишком много времени будет уходить на подобное связывание, при условии, когда идет активная работа на форуме.

а) Не все Операторы работают на форумах.

б) Как я и сказал: "Оператор сам принимает решение - нужно УСЛОВИЕ для данной сигнатуры или нет."

в) Когда оператор найдёт время - тогда и сделает настройки.

Сколько сейчас времени уходит на составление и последующею проверку критерия поиска ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

предлагаю добавить функцию dirzoo в контекстное меню, ниже опции "поместить копию файла в ZOO"

(раз уж есть такая функция)

по умолчанию, пусть будет маска *.exe, если кому то надо будет другие типы исполняемых файлов добавить, можно вручную поправить маску в скрипте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

Предлагаю добавить функцию dirzoo в контекстное меню, ниже опции "поместить копию файла в ZOO"

(раз уж есть такая функция)

по умолчанию, пусть будет маска *.exe, если кому то надо будет другие типы исполняемых файлов добавить, можно вручную поправить маску в скрипте.

Поддерживаю НО с небольшим уточнением.

Пусть по умолчанию будет выбор по/из маска-е: exe; dll; sys.

т.е основные типы.

+

dirzooX- для всех НЕ известных типов-расширений.

2) https://www.metascan-online.com/

https://www.metascan-online.com/ru/search

До 80-mb

3) По V.T.

Команда: "Запустить повторную проверку файла.

ЕСЛИ файл уже проверяли то МОЖНО повторно его проверить БЕЗ ЗАГРУЗКИ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

см.фото пример.

т.е. У НАС нет файла - но повторно проверить = получить результат можно.

2013_06_06_162359.jpg

post-8956-1370514524_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

модифицированный dirzoo будет, для всех исполняемых файлов без указания маски.

повоторный анализ гляну, если возможно то добавлю, но скорее всего таки требуется загружать копию, остольное отклоняется.

santy

можно и добавить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Demkd пишет: если возможно то добавлю, но скорее всего таки требуется загружать копию

идёт расчёт его SHA1* - если нет SHA1* в базе - то идёт загрузка.

если SHA1* есть/найден в базе - то он НЕ загружается ( в том году ещё изменили алгоритм )

если SHA1* найден - всплывает предложение его повторно проверить. ( без загрузки )

В общем действительно нужно смотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

не вижу я такого при поиске по sha, такое окно вываливается лишь ПОСЛЕ загрузки файла

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Важно не какой файл ПРОБУЮТ загрузить на V.T.

Важно какой SHA1* отправляется для ЗАПРОСА на сервис.

Если _ПОДСТАВИТЬ_ ПРАВИЛЬНЫЙ SHA1* для запроса...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

вот я и горворю, здесь надо пробовать, но п.н. т.е. с вероятностью 100% ничего не выйдет, файла нет - нет повторной проверки, иначе бы в отчетах была бы соотв. кнопка, а ее нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
файла нет

Если его нет то ... ?

ОН ДОЛЖЕН БЫТЬ !

ПОДСТАВЛЯЕМ любой файл из каталога uVS для проверки, идёт расчёт его SHA1* - но на сервис уходит НАШ ( нужный ) SHA1*

Ясно, что расчёт SHA1* - локально проходит.

Значит данные/результат можно подменить/заменить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

...

2013_06_06_172506.jpg

post-8956-1370518111_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

вычисление хэша может идти на сервере после загрузки файла, так что я говорю надо смотреть какие параметры передаются и пробовать, будет время попробую

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Без разницы, что там на сервисе.

Контрольная сумма локально вычисляется.

И в зависимости от результата - файл либо загружается ( если до этого его не проверяли )

Или предлагается запустить повторную проверку файла. ( если проверялся )

Что видно по снимкам.

Легко проверить: Берём 2 файла - один проверялся - другой ещё нет...

Размер файла/лов выбрать mb на 40 ( для наглядности )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

по снимками ничего не видно, загрузка файла может пойти после нажатия кнопки "повторить анализ",

именно так оно реализовано в vtuploader-е например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Как я уже сказал.

Да - в том году ЕЩЁ загружали.

В этом НЕ загружают > предлагают повторно файл проверить.

Что касается загрузки проведём простой опыт: Взять файл который раньше проверяли весом 40 mb - ограничить канал до 60 kb

И посмотреть результат ... :facepalm: ( Загрузки ) ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

потом поковыряю, если возможно то прикручу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
PR55.RP55

модифицированный dirzoo будет, для всех исполняемых файлов без указания маски.

santy

можно и добавить

+ добавить решение по автоматической очистке hosts, аналогичное деинсталляции установленных программ.

варианты:

либо ввести инфо для отдельной записи на вкладке hosts, чтобы там можно было создать критерий

либо из самого списка добавить контекстное меню для создания критерия по отдельной записи hosts

если есть такая возможность, создать структуру для записи hosts, как в случае с dns

имя файла

host

или как в случае со списком программ выводить специализированное значение аргумента:

hosts

в этом случае - создаваемые критерии применять только для записей hosts

------------------------

результат обработки по критериям можно так же выводить в лог с контекстом:

удалить текущую запись hosts (delhst)

очистить полностью hosts (reg 14)

-------

предусмотреть возможность автоматического добавления команд delhst в скрипт.

(можно через настройки settings.ini)

или через горячую клавишу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
      Компания ESET (/исэ́т/) ― лидер в области информационной безопасности ― сообщает об обновлении ESET HOME Security Essential и ESET HOME Security Premium, комплексных подписок для защиты устройств домашних пользователей, и ESET Small Business Security, решения для малого бизнеса.

      Среди новинок ― функция восстановления после атак программ-вымогателей, мониторинг микрофона и улучшения безопасности при просмотре веб-сайтов, а также VPN, который предотвращает нежелательное отслеживание, обеспечивая неограниченный доступ к онлайн-контенту. Поскольку мошенничество сегодня является глобальной угрозой для всех пользователей, ESET обеспечивает усовершенствованную защиту от различных мошеннических методов, противодействуя атакам из разных типов источников, включая SMS-сообщения, электронную почту, телефонные звонки, URL-адреса, QR-коды, вредоносные файлы и другие.

      Обновленная платформа ESET HOME также упрощает управление безопасностью, что облегчает пользователям защиту своих семей, а владельцам малого бизнеса позволяет точно отслеживать защищенные устройства, а также устанавливать программы безопасности на все устройства благодаря доступному и понятному интерфейсу. 

      «Как поставщик передовых решений для защиты цифровой жизни, ESET тщательно отслеживает текущую ситуацию с угрозами и соответственно разрабатывает свои решения по кибербезопасности, ― комментирует вице-президент ESET в сегменте домашних пользователей и Интернета вещей. ― Усиленная защита от мошенничества, новая функция восстановления после атак программ-вымогателей и многочисленные усовершенствования безопасности конфиденциальных данных делают продукты ESET для домашних пользователей и малых предприятий мощными комплексными решениями, которые сочетают минимальное влияние на продуктивность и простоту в использовании».

      Решения для домашних устройств и малого бизнеса защищают все основные операционные системы ― Windows, macOS, Android ― и поддерживают разные устройства умного дома. Кроме того, ESET Small Business Security также защищает серверы Windows.

      Основные улучшения для пользователей Windows:

      •    Добавлен VPN (теперь доступно в подписке ESET HOME Security Premium): функция защитит сетевое подключение благодаря анонимному IP-адресу, а безлимитная пропускная способность обеспечит неограниченный доступ к онлайн-контенту. Кроме Windows, VPN также доступен пользователям MacOS, Android и iOS.

      •    Усилена защита конфиденциальных данных (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security): новый мониторинг микрофона обнаруживает и уведомляет пользователей о несанкционированных попытках доступа к микрофону на устройствах Windows.

      •    Улучшена безопасность при использовании браузера (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security) для защиты от фишинга, мошенничества и вредоносных веб-сайтов. Эта функция сканирует воспроизводимый HTML-код в браузере, чтобы обнаружить вредоносное содержимое, которое не фиксируется на уровне сети и с помощью «черного» списка URL.

      •    Добавлено восстановление после атак программ-вымогателей (доступно в решении ESET Small Business Security): первоначально разработанная для крупного бизнеса, функция позволяет минимизировать ущерб, вызванный этими угрозами. Как только защита от программ-вымогателей выявляет потенциальную угрозу, функция восстановления после атак немедленно создает резервные копии файлов, а после устранения опасности восстанавливает файлы, эффективно возвращая систему в прежнее состояние. Основные улучшения для пользователей macOS (доступны в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security):

      •    Поддержка macOS 26 (Tahoe) позволяет использовать защиту на текущей версии macOS.

      •    Поддержка HTTPS & HTTP/3 улучшает безопасность пользователей в Интернете.

      •    Управление устройствами контролирует внешние устройства, подключенные к Mac. Функция помогает защитить от вредоносного программного обеспечения и несанкционированной передачи данных, ограничивая доступ к определенным типам или даже отдельным устройствам. Следует отметить, что эти усовершенствования помогут противодействовать постоянно совершенствующимся угрозам с особым акцентом на предотвращение. Компания ESET также считает чрезвычайно важным сочетание кибергигиены с удобной защитой, поскольку действительно эффективная кибербезопасность должна быть простой в настройке и управлении.

      Более подробная информация о многоуровневой защите устройств домашних пользователей и решении для малого бизнеса. Пресс-выпуск.
    • Ego Dekker
      ESET NOD32 Antivirus 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Internet Security 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Smart Security Premium 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Security Ultimate 19.0.11  (Windows 10/11, 64-разрядная)
                                                                                  ● ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 19  (PDF-файл)
              Руководство пользователя ESET Internet Security 19  (PDF-файл)
              Руководство пользователя ESET Smart Security Premium 19  (PDF-файл)
              Руководство пользователя ESET Security Ultimate 19  (PDF-файл)
              
      Полезные ссылки:
      Технологии ESET
      ESET Online Scanner
      Удаление антивирусов других компаний
      Как удалить антивирус 19-й версии полностью?
    • demkd
      ---------------------------------------------------------
       5.0.3
      ---------------------------------------------------------
       o Добавлен новый статус процесса: Критический.
         В старых версиях uVS выгрузка такого процесса приводила к BSOD с кодом: CRITICAL PROCESS DIED.
         Начиная с v5.0.3 такие процессы выгружаются без последствий (если этот процесс не является системным).
         При обнаружении неизвестного процесса с критическим статусом в лог выводится предупреждение и
         файл получается статус "подозрительный".

       o Добавлен новый режим захвата экрана DDAw, который является упрощенным режимом DDAL.
         Отличие от DDAL в том, что передается и отображается лишь содержимое активного окна и
         участки окон высшего уровня перекрывающие это окно (если они есть).
         Данный режим позволяет снизить нагрузку на процессор и канал передачи данных.
         Визуально это выглядит как интеграция окна удаленного приложения в клиентскую систему.
         Для переключения между окнами доступны все горячие клавиши.
         При нажатии Alt+Tab на время удержания клавиши Alt передается весь экран для возможности
         визуального выбора другого окна.
         (!) В этом режиме монитор и рабочий стол выбираются автоматически по расположению активного окна. 
         (!) В этом режиме недоступна эмуляция нажатия Ctrl+Alt+Del.
         (!) В этом режиме недоступно отображение запроса UAC.
         (!) Если нет активного окна то картинка не передается.
         (!) Режим доступен начиная с Windows 8.

       o В окно настройки однократного доступа к удаленному рабочему столу
         добавлен новый флаг "Только для выбранного приложения".
         Если флаг установлен то удаленному пользователю передается лишь содержимое активного  
         окна разрешенного приложения, все остальное он не видит и не может просматривать/управлять 
         окнами других приложений.
         Разрешенным может являться лишь одно приложение. Для выбора приложения необходимо
         активировать любое его окно и нажать горячую клавишу (по умолчанию Alt+Shift+W) указанную в логе uVS.
         Выбор доступен лишь тому кто предоставляет доступ к своему рабочему столу.
         Если удаленному пользователю разрешено управление и он любым способом сменит фокус ввода
         на другое приложение (например нажмет Alt+Tab или закроет приложение) то он немедленно потеряет возможность
         управлять удаленным компьютером до возврата фокуса ввода в окно разрешенного приложения или
         замены разрешенного приложения.

       o Функция запоминания размеров окон для разных мониторов удалена.
         Теперь действуют единые парметры масштабирования.
         Масштабирование стало автоматическим.

       o При подключении к удаленному рабочему столу автоматически определяется активный дисплей
         по окну на переднем плане.

       o В системное меню окна удаленного рабочего стола добавлены пункты:
         o Скрыть/показать элементы управления.
         o Эмулировать нажатие кнопок Ctrl+Alt+Del (кнопка CAD удалена из окна).
       
    • AM_Bot
      Когда-то BI.ZONE SOAR был внутренней разработкой для собственного центра мониторинга ИБ. Теперь это продукт, который доступен и внешним заказчикам. Он служит ядром управления информационной безопасностью: собирает алерты, автоматизирует, обеспечивает реагирование, позволяет работать по модели MSSP.      ВведениеСоздание решенияАрхитектура и компонентыКлючевые возможности BI.ZONE SOAR4.1. Работа с алертами4.1.1. Политики регистрации алертов4.1.2. Агрегация алертов4.1.3. Группировка алертов4.2. Jinja-шаблоны4.3. Автоматическая регистрация инцидентов (Direct Alert)4.4. Обогащения в карточке алерта4.5. Возможности реагирования на сторонних системах4.6. Учет SLA по обработке алертов4.7. Работа с инцидентами4.8. Почтовые уведомления4.9. История изменений4.10. Рекомендации по безопасности4.11. Задачи4.12. Клиентский портал BI.ZONE SOC Portal4.13. ИИ-ассистент BI.ZONE Cubi4.13.1. Объяснение командных строк4.13.2. Объяснение алерта4.13.3. Резюме для руководителей (executive summary) по инциденту4.14. Управление активами и модуль CMDBОбщие возможности BI.ZONE SOAR5.1. Кастомизация карточек инцидентов5.1.1. Типы карточек5.1.2. Рабочие процессы карточек5.1.3. Приоритет карточки5.1.4. Категории5.1.5. Решения5.1.6. Кастомные поля5.2. Поддержка сквозного входа (SSO)5.3. Мультиарендность5.4. Ролевое разграничение доступа5.5. Дашборды5.6. Отчеты5.7. Система документации5.8. Коннекторы5.9. Сторонние интеграцииМинимальные требования к аппаратным ресурсамТиповые схемы внедрения BI.ZONE SOAR7.1. Базовая инсталляция для внутреннего SOC7.2. Мультитенантная инсталляция для крупных SOC и MSSP7.3. Инсталляция с поддержкой интеграции BI.ZONE TDRВыводыВведениеВ июле 2025 года компания BI.ZONE представила платформу BI.ZONE SOAR (Security Orchestration, Automation, and Response), которая связывает процессы мониторинга, расследования и реагирования на инциденты. Главная задача платформы — предоставить решение для команд центров мониторинга (SOC), на базе которого можно построить процессы управления инцидентами, а также обеспечить прозрачный и управляемый цикл расследования от первого алерта до устранения последствий атаки.BI.ZONE SOAR выполняет функцию единого окна, в котором команды кибербезопасности могут централизованно наблюдать за уровнем защищенности инфраструктуры. Платформа закрывает первоочередные задачи любого SOC: обрабатывает поток алертов, поддерживает формирование кастомных карточек, позволяет использовать контекст из встроенной БД управления конфигурациями (CMDB) и предоставляет инструменты для взаимодействия с внешними командами. Решение также входит в реестр отечественного ПО, что подтверждает соответствие требованиям российского законодательства.В обзоре — подробное описание ключевых функций платформы, ее архитектурных особенностей и способов внедрения.Создание решенияВ 2019 году компания BI.ZONE решила создать собственный центр мониторинга, который должен не только покрывать внутренние потребности по инцидент-менеджменту, но и обеспечивать максимальную прозрачность для клиентов, удовлетворять требованиям соглашений и целей по качеству (SLA / SLO) и позволять масштабировать процессы в будущем. Существующие на тот момент решения не закрывали поставленные задачи. Большинство SOAR-платформ были громоздкими, требовали значительной доработки и не позволяли адаптировать бизнес-логику под специфические сценарии SOC. В результате было принято стратегическое решение — разработать собственную платформу, которая станет ядром процессов реагирования внутри SOC в BI.ZONE и со временем сможет эволюционировать в полноценный продукт для внешнего рынка.Одновременно с развитием платформы рос и сам SOC в BI.ZONE. Сегодня он является одним из крупнейших центров мониторинга в России и других странах СНГ, который круглосуточно обслуживает более 150 заказчиков. Ядром архитектуры SOC в BI.ZONE остается BI.ZONE SOAR — единая точка взаимодействия между аналитиками, клиентами и внешними системами.Архитектура и компонентыАрхитектура BI.ZONE SOAR построена по принципам модульности, масштабируемости и отказоустойчивости. Платформа состоит из семи основных модулей:Алерт-менеджер. Модуль для приема и первичной обработки входящих алертов — атомарных сигналов тревоги от конкретного средства защиты. Может агрегировать однотипные события, применять правила группировки, автоматически заводить инциденты для критических алертов и т. д.Модуль активов (CMDB). Модуль для хранения данных об объектах инфраструктуры и автоматической регистрации активов.Ядро SOAR. Центральный компонент, который управляет жизненным циклом карточек (инцидентов, алертов, задач и т. д.), позволяет конфигурировать параметры системы и управлять другими модулями.Центр уведомлений. Модуль для уведомлений по ключевым событиям: регистрация карточек, изменение статусов, добавление новых комментариев и т. д.Клиентский портал. Выделенный веб-интерфейс для взаимодействия команды кибербезопасности с другими командами (ИТ, подрядчики, пользователи, ответственные за активы и т. д.).Модуль реагирования. Выполняет действия по локализации угроз на других защитных решениях в организации.Модуль отчетов. Генерирует отчеты в соответствии с заданными параметрами и расписанием.Рисунок 1. Устройство архитектуры BI.ZONE SOAR Помимо вышеперечисленных, в архитектуру могут входить вспомогательные сервисы. Вместе компоненты образуют комплексное, но гибкое решение: можно дорабатывать или заменять отдельные модули без перестройки всей системы.Кроме того, BI.ZONE SOAR спроектирована с расчетом на эксплуатацию в крупных SOC, поэтому отдельное внимание уделено возможностям горизонтального масштабирования и отказоустойчивости. Модули выполнены в виде микросервисов, при этом платформа разворачивается в кластере Kubernetes. Контейнеризация микросервисов существенно упрощает развертывание решения и его переносимость между средами. Инструменты Kubernetes поддерживают отказоустойчивость, позволяют динамически добавлять новые ноды с ростом нагрузки, автоматически распределяют нагрузку по узлам, перезапускают сервисы в случае сбоя и восстанавливают состояние платформы при проблемах в кластере. Это позволяет подстраивать производительность системы в соответствии с текущей нагрузкой и добавлять новые ресурсы, если того требуют растущие объемы алертов.Ключевые возможности BI.ZONE SOAR Среди основных функций продукта — работа с алертами и инцидентами, использование шаблонов на языке Jinja, выдача рекомендаций. Распишем их детальнее.Работа с алертамиРастущее количество алертов от защитных решений — одна из ключевых проблем в любом SOC. Все центры мониторинга работают с большим количеством СЗИ, при этом у команды кибербезопасности не всегда есть ресурсы на точную настройку всех систем. Рисунок 2. Конвейер (пайплайн) обработки алертов В результате команды рано или поздно сталкиваются со следующими проблемами:«штормы» из сотен срабатываний одного правила;рост риска пропустить действительно критическую активность из-за большого количества неприоритетных алертов;очереди и задержки в обработке алертов, а также периодические срывы установленных SLA;одна активность вызывает регистрацию большого количества инцидентов и документируется несколько раз;сразу после закрытия обработанного алерта открывается новый аналогичный.Для решения этих проблем в BI.ZONE SOAR предусмотрен специализированный модуль «Алерт-менеджер». Он отвечает за работу с входящими потоками алертов и предоставляет команде SOC возможности для управления параметрами регистрации алертов в SOAR. С помощью модуля команда SOC может настроить политики фильтрации, группировки, агрегации и шаблонизации.Политики регистрации алертов Политики регистрации позволяют задать условия, при которых входящее событие будет зарегистрировано в SOAR как алерт. Инструмент направляет все алерты от систем управления событиями (SIEM) и других подключенных СЗИ в SOAR, а затем с помощью тонкой настройки можно отключить политику регистрации алертов для тех правил, которые не являются достаточно точными, чтобы обрабатываться в режиме реального времени.Такой подход позволяет регистрировать в SOAR только наиболее критические алерты и не отключать те правила и детектирующие сигнатуры, которые могут быть полезны в контексте подробного расследования. Рисунок 3. Информация об алертах в BI.ZONE SOAR Агрегация алертовЗачастую одна активность вызывает множество однотипных алертов, что снижает эффективность работы, потому что несколько аналитиков тратят время на обработку одного и того же. В таких случаях команде SOC удобнее анализировать один кумулятивный алерт, содержащий информацию по всем срабатываниям. Рисунок 4. Агрегация алертов по множественному запуску утилиты Rubeus Настройка параметров агрегации позволяет задать:длительность окна агрегации (например, 10 минут или 1 час);ключевые поля, которые необходимо использовать как признак для объединения алертов;поля, для которых нужно накапливать уникальные значения в агрегированный список (командные строки, имена файлов, имена пользователей и т. д.);действие при поступлении аналогичного алерта в течение заданного временного окна — например, если однотипный алерт придет в течение часа, можно не создавать аналогичный алерт повторно.Есть также функция бесконечной агрегации — после закрытия одного алерта аналогичные не будут дублироваться в системе.Группировка алертовВ некоторых случаях одна и та же активность вызывает срабатывания нескольких правил в SIEM или на множестве СЗИ сразу, что затрудняет настройку агрегации по ключевым полям. Однако аналитикам важно видеть, что несколько алертов связаны семантически. В этом помогает механизм группировки, который объединяет несколько алертов в одну раскрываемую группу. Рисунок 5. BI.ZONE SOAR автоматически группирует алерты по хосту Группировка формируется по трем признакам: сработавшее правило, хост, заданный набор полей группировки.Jinja-шаблоныОдно из главных достоинств BI.ZONE SOAR — поддержка Jinja-шаблонов. Язык Jinja широко применяется для генерации динамического текста. Он позволяет вставлять переменные, выполнять простую логику (условия, циклы) и таким образом получать автоматизированно заполненный текст по заданному формату. Это полезно для стандартизации описаний: каждая карточка инцидента или рекомендации будет оформлена по единому образцу. Функция существенно экономит время аналитика на документирование однотипной активности. Также с помощью Jinja-шаблонов может быть сформирована база шаблонов для обработки различных типов алертов, которой сможет пользоваться вся команда SOC. Рисунок 6. Jinja-шаблон описания карточки инцидента в BI.ZONE SOAR Встроенный шаблонизатор BI.ZONE SOAR позволяет:формировать заголовок и описание карточки;добавлять в текст поля из алерта;обращаться к данным, которые были накоплены на этапе агрегации, например к уникальным командным строкам;создавать таблицы;использовать HTML для форматирования текста.За счет возможности использования логических операторов (условия и подстановки) один и тот же шаблон корректно работает во множестве сценариев. Например, если в событии есть полное доменное имя (FQDN), может быть вызвана одна часть шаблона, если нет — используется другая. Это помогает стандартизировать вид карточек инцидентов, благодаря чему повышается качество отчетности и упрощается онбординг новых сотрудников.Автоматическая регистрация инцидентов (Direct Alert)В ситуациях, когда команда кибербезопасности не может на своем уровне оценить легитимность действий, аналитики центра мониторинга отправляют уведомление в другую команду, которая подтверждает или опровергает легитимность активности. Чтобы автоматизировать обработку кейсов, где нужна валидация со стороны, в BI.ZONE SOAR разработан механизм автоматической регистрации инцидентов Direct Alert. При появлении алертов от срабатываний правил, для которых настроен инструмент, Direct Alert автоматически регистрирует инцидент и отправляет уведомление.Например, при запуске сетевого сканера на машине системного администратора и срабатывании соответствующих правил BI.ZONE SOAR может автоматически отправлять уведомление ответственному лицу с запросом легитимности выполняемых действий.Обогащения в карточке алертаПри изучении алерта аналитику бывает недостаточно только контекста: нужно получить информацию из сторонних систем. Ручной поиск в соседних системах увеличивает время на получение информации, поэтому команде SOC удобно видеть дополнительные обогащения напрямую в карточке алерта. Рисунок 7. Обогащения в карточке алерта в BI.ZONE SOAR Обогащение — это дополнительный объект, который может создаваться внутри каждого алерта как в ручном режиме (при вызове доступных действий реагирования), так и автоматически (посредством интеграций, взаимодействующих с SOAR через REST API). В зависимости от решаемой задачи обогащение может содержать записи в виде текста или сохранять файлы с полезным контекстом (выгрузки логов, дампы памяти и т. д.).Возможности реагирования на сторонних системах BI.ZONE SOAR предоставляет возможности для реагирования на угрозы через набор коннекторов к другим системам, что позволяет принимать меры по локализации угрозы максимально оперативно и с использованием всех доступных защитных решений в организации. Например, открыв карточку алерта, аналитик SOC может одним кликом инициировать различные действия: «Изолировать хост от сети» с помощью системы защиты конечных точек (EDR) или «Заблокировать подозрительный IP-адрес» средствами файрвола нового поколения (NGFW). Рисунок 8. Реагирование из карточки алерта в BI.ZONE SOAR Из карточки также доступны возможности для обогащения алерта. Так, при обнаружении потенциального индикатора компрометации (IP-адрес, хеш файла, домен) аналитик SOC может запустить действие «Получить информацию о хеше из VirusTotal» или «Выполнить WHOIS-запрос для домена». В результате в карточку автоматически добавится информация о репутации индикатора, геолокации IP-адреса, данные о владельце домена и т. д.Учет SLA по обработке алертовЕще одна ключевая возможность BI.ZONE SOAR — гибкая настройка SLA для времени обработки алертов и инцидентов. Контроль SLA позволяет команде SOC проанализировать, как быстро они реагируют и локализуют возникающие угрозы.  Рисунок 9. Учет SLA обработки алертов в BI.ZONE SOAR Платформа позволяет добавлять параметры SLA, связывать их с карточками и настраивать управление параметрами. Гибкие настройки включают:задание имен метрик;определение условий начала и остановки отсчета времени;указание максимального времени выполнения для каждого параметра SLA.Функция полезна как для оценки эффективности всего SOC, так и для оценки показателей отдельно взятого аналитика. Работа с инцидентами Если один или группа алертов подтверждают вредоносную активность, то они консолидируются в инцидент. Один инцидент может включать множество связанных алертов, если они относятся к одной цепочке атаки, общему источнику данных или затрагивают одни и те же активы. Рисунок 10. Работа с инцидентами в BI.ZONE SOAR Главное назначение инцидента как сущности — превратить набор разрозненных алертов в единую структурированную карточку, куда команда может задокументировать расследование и сохранить необходимые артефакты. Внутри инцидента ведется хронология действий команды: собираются ключевые факты и контекст, строится целостная картина происходящего, фиксируются гипотезы и принятые решения. Состав полей карточки инцидента может настраиваться в зависимости от потребности конкретного SOC.Карточки на платформе BI.ZONE SOAR также содержат поля с временными метками для контроля выполнения SLA по обработке инцидента: время от момента его создания до взятия в работу, от взятия в работу до принятия решения и т. д. Таймеры для SLA могут быть настроены таким образом, чтобы учитывать производственные календари, паузы и «стоп-часы», а также подсвечивать нарушения в интерфейсе и отчетах. Это позволяет организовать процесс обработки инцидентов с контролируемыми метриками, что важно для анализа операционной работы SOC.Детальное описание инцидента заполняется с помощью встроенного текстового редактора. Он позволяет форматировать текст и добавлять изображения, например снимки экрана. Рисунок 11. Встроенный текстовый редактор для описания инцидента Если карточка инцидента не была заполнена в соответствии с шаблоном обработки алерта автоматически, аналитик SOC может найти необходимый шаблон вручную и получить предварительно заполненную карточку. Это позволяет автоматизировать первичное документирование инцидента и самостоятельно зафиксировать только наиболее важные детали.Для устранения последствий инцидентов в карточке инцидента предусмотрен блок с рекомендациями. В зависимости от потребности рекомендации могут заполняться автоматически на основе шаблона обработки алерта, выбираться из списка сохраненных шаблонов вручную или описываться аналитиком SOC самостоятельно (если инцидент оказался нестандартным и для него не заготовлены рекомендации).Переиспользование шаблонов существенно снижает временные затраты команды SOC, потому что один и тот же шаблон можно применять для множества схожих случаев. Например, если структура данных алертов от разных систем обнаружения вторжений (IDS) похожа, можно создать единый шаблон представления «Срабатывание IDS» и использовать его для любых источников, фиксируя в карточке инцидента требуемые поля.Еще хранилище шаблонов в SOAR способствует обмену опытом внутри команды. За счет совместной работы аналитики SOC могут увеличивать процент покрытия шаблонами все большего количества сценариев, снижая долю инцидентов, которые нужно описывать вручную.  Рисунок 12. Блок с рекомендациями в карточке инцидента в BI.ZONE SOAR К карточке инцидента также можно добавлять вложения: лог-файлы, дампы памяти, инструкции и другие файлы, полезные в контексте расследования. Рисунок 13. Раздел индикаторов компрометации в карточке инцидента в BI.ZONE SOAR Если в ходе расследования выявлены индикаторы компрометации (IoC), их следует заносить в специальный раздел карточки инцидента. Централизованное хранение IoC упрощает фиксацию выявленных индикаторов и позволяет сформировать единый список IoC внутри центра мониторинга. При интеграциях с внешними системами индикаторы могут экспортироваться ими для блокировок на защитных решениях или для мониторинга в SIEM. Рисунок 14. Отображение других карточек, связанных с инцидентом, в BI.ZONE SOAR Для удобства аналитика в карточку инцидента добавлен раздел со связанными с ним карточками алертов, инцидентов и задач. Механизм связей позволяет быстро получить доступ к дополнительному контексту, который может быть полезен для составления полной картины инцидента.Также в разделе «Активы» внутри карточки инцидента предоставлена информация о связанных с ним активах, что может быть полезно при поиске дополнительных сведений в рамках расследования. Доступ к информации по активам позволяет выдавать более точные рекомендации по устранению последствий инцидентов. Например, если установлено, что причиной инцидента стало необновленное ПО, то можно запланировать обновление в рамках связанной задачи. Рисунок 15. Раздел с похожими инцидентами в BI.ZONE SOAR Кроме того, в карточке можно найти похожие инциденты, в которых сработали те же правила, были такие же индикаторы компрометации или затронуты те же активы. Механизм позволяет быстро получить доступ к аналогичным инцидентам и узнать, чем была вызвана схожая активность и как команда SOC обработала ее ранее.  Рисунок 16. Комментарии внутри карточки инцидента в BI.ZONE SOAR Команда может взаимодействовать в карточке с помощью комментариев. В крупных организациях почта служит основным инструментом коммуникации, поэтому BI.ZONE SOAR поддерживает возможность добавлять комментарии, отправленные по почте. Так, если получатель ответит на почтовое уведомление BI.ZONE SOAR, то его ответ автоматически преобразуется в комментарий и добавится к карточке инцидента. Для удобства комментарии, добавленные через веб-интерфейс или через почту, маркируются разными иконками.Система поддерживает внутренние и внешние комментарии. Внутренние комментарии доступны только для пользователей с правами доступа к веб-интерфейсу BI.ZONE SOAR. Внешние отображаются на клиентском портале BI.ZONE SOC Portal. В зависимости от типа комментарии подсвечиваются разными цветами: зеленым — внутренние, желтым — внешние. Рисунок 17. «Нелегитимные» комментарии внутри карточки инцидента выделяются красным цветом Иногда команде кибербезопасности нужно запросить подтверждение о выполнении каких-либо действий от пользователей, которые не имеют доступа к веб-интерфейсам BI.ZONE SOAR / BI.ZONE SOC Portal. В таком случае им может быть перенаправлено письмо о регистрации инцидента. Ответ такого пользователя будет преобразован в комментарий внутри карточки. Так как пользователи не имеют доступа, их ответы маркируются как «нелегитимные» и подсвечиваются красным цветом. Это сигнализирует команде кибербезопасности, что использовать предоставленную информацию следует с осторожностью.Почтовые уведомленияДля взаимодействия с большим количеством пользователей в BI.ZONE SOAR реализованы гибкие механизмы почтовых уведомлений. Платформа позволяет настроить автоматическую отправку писем при регистрации инцидента. Для кастомизации уведомления, которое будет отправлено пользователю на почту, используется Jinja-шаблон. Он позволяет обращаться к полям инцидента, алерта, информации об активе и другому контексту из карточки. Рисунок 18. Создание почтового уведомления с помощью шаблона Также администратор может указать, в каких случаях система должна уведомлять пользователей по почте. Например, можно настроить отправку уведомлений в случае создания инцидента, изменения его статуса, добавления комментария и т. д.История измененийПри ретроспективном анализе инцидента удобно использовать историю его изменений. Здесь пользователь SOAR может увидеть, какие изменения вносились в карточку инцидента, в какое время и каким пользователем. Рисунок 19. Раздел «История изменений» на вкладке «История» в BI.ZONE SOAR Рекомендации по безопасностиПродвигаясь по инфраструктуре крупной организации, злоумышленник обычно укрепляет свои позиции за счет ошибок конфигураций на конечных точках: они распространены во многих инфраструктурах и просты в эксплуатации. Рисунок 20. Рекомендации по безопасности в BI.ZONE SOAR Основное назначение функции «Рекомендации по безопасности» — просигнализировать команде SOC о выявленных недостатках конфигурации, которые могут использоваться атакующим для компрометации систем, горизонтального перемещения или повышения привилегий. Функция позволяет оценить текущий уровень защищенности инфраструктуры, приоритизировать проблемы и запланировать исправления. Для удобства несколько рекомендаций безопасности могут быть отнесены к одному инциденту, по аналогии с обработкой алертов. Также с инцидентом с несколькими рекомендациями безопасности могут быть связаны задачи по исправлению проблем на конкретных конечных точках, привязанных к определенным активам.В настоящий момент рекомендации формируются на основе телеметрии BI.ZONE EDR: данных с агента на конечной точке достаточно, чтобы сделать вывод о наличии ошибки конфигурации на конкретном хосте.ЗадачиЗадачи в BI.ZONE SOAR — это инструмент таск-менеджмента для контроля выполнения действий по локализации инцидентов, рекомендаций от команды кибербезопасности и других процессов, в том числе внутри команды.Базовая информация по задаче представлена в шапке карточки, а более подробная — на вкладках ниже. Вкладки собираются из набора доступных виджетов. В зависимости от потребности конкретной организации администратор SOAR может менять состав вкладок и принцип их заполнения. Поля карточки также кастомизируются: самые важные можно добавить в шапку, а другие сделать доступными из специального виджета. Рисунок 21. Задачи в BI.ZONE SOAR Клиентский портал BI.ZONE SOC Portal Платформу BI.ZONE SOAR может использовать не только команда SOC, но и другие подразделения внутри организации. Сторонние участники могут получать доступ к различным карточкам (инцидентов, алертов, задач) через клиентский портал системы автоматизации процесса обработки киберинцидентов BI.ZONE SOC Portal.BI.ZONE SOC Portal — это витрина и рабочее место для тех, кто не работает напрямую в SOC, но должен участвовать в реагировании, например команд системных администраторов, специалистов подрядчика, ответственных за отдельные активы в инфраструктуре и других. Для внешних пользователей BI.ZONE SOC Portal упрощает и систематизирует взаимодействие с командой кибербезопасности. Так, вместо множества писем, звонков и устных поручений сторонние участники получают оформленные карточки инцидентов, где могут добавить полезный контекст, задать уточняющие вопросы и зафиксировать текущий статус инцидента.Для команды кибербезопасности система удобна тем, что позволяет управлять внешней видимостью данных и тонко разграничивать доступ к карточкам по конкретной инфраструктуре, а также типу и статусу карточки. Кроме того, BI.ZONE SOC Portal разрешает скрывать конфиденциальные поля карточки, которые должны быть видимыми только для команды SOC.Ключевые достоинства BI.ZONE SOC Portal:Устраняет необходимость ручного копирования информации из других систем в SOAR. Это ускоряет цикл реагирования. Повышает прозрачность работы. Привлеченный пользователь видит контекст по инциденту, а также то, какие шаги уже выполнены или запланированы для его устранения.Снижает вероятность потери важной информации. Все решения, комментарии и вложения протоколируются. К сохраненным сведениям можно вернуться позднее для их оценки или восстановления хронологии.Позволяет оценить взаимодействие с другими подразделениями за счет контроля SLA. Это дает команде кибербезопасности возможность выявлять проблемные места в ходе расследования и регулярно улучшать процессы.Кроме того, BI.ZONE SOC Portal можно брендировать под дизайн-код конкретной организации: настроить логотип, цвет интерфейса и другие элементы.ИИ-ассистент BI.ZONE CubiВ 2025 году BI.ZONE внедрила в свои продукты ИИ-ассистент BI.ZONE Cubi на базе генеративного ИИ (GenAI). Он упрощает работу аналитиков SOC: объясняет командные строки и алерты, а также может сформировать краткую сводку по инциденту. BI.ZONE использует собственные большие языковые модели, которые построены на базе моделей с открытой лицензией и дообучены на решении задач в области кибербезопасности. GenAI-приложения для различных продуктов развернуты в облаке BI.ZONE. Это значит, что для взаимодействия с ИИ-ассистентом администратору BI.ZONE SOAR не придется выделять аппаратные ресурсы в виде дорогих графических плат (GPU) или передавать данные недоверенному провайдеру больших языковых моделей (LLM). Объяснение командных строкМногие алерты построены на основе специфических командных строк, которые крайне важно корректно интерпретировать. BI.ZONE Cubi подробно и за несколько секунд объясняет нужную информацию, чем существенно ускоряет работу аналитиков. Рисунок 22. Объяснение командной строки от BI.ZONE Cubi Объяснение алертаФункция полезна для самопроверки аналитиков SOC. С помощью подсказок ИИ-ассистента аналитик может перепроверить корректность собственных выводов. Также объяснение алерта может использоваться при обучении сотрудников с небольшим опытом работы в центре мониторинга, уменьшая необходимый порог входа в команду SOC.При объяснении алерта ИИ-ассистент также выполняет поиск совпадений по данным BI.ZONE Threat Intelligence, чтобы получить дополнительный контекст и выявить актора, атакующего инфраструктуру.Резюме для руководителей (executive summary) по инцидентуЧтобы сформировать краткое описание инцидента, ИИ-ассистент использует доступный контекст по инциденту, связанным алертам, затронутым активам и другим сущностям. Функция особенно полезна руководителям команд кибербезопасности, когда необходимо изучить несколько инцидентов и получить общее понимание о текущем статусе расследования. Генерацию резюме могут также использовать аналитики SOC, чтобы перепроверить свои выводы или добавить в описание важный контекст. Рисунок 23. Обобщение по инциденту от BI.ZONE Cubi Управление активами и модуль CMDBМодуль управления активами выполняет функцию встроенной CMDB-системы, которая автоматически накапливает данные об активах в инфраструктуре и связывает их с карточками. Это дает больше контекста для расследования инцидентов и упрощает инвентаризацию информационных систем. Модуль CMDB может работать с любыми источниками информации об активах, формат данных от которых приведен к формату, поддерживаемому CMDB. Рисунок 24–25. Работа модуля CMDB в BI.ZONE SOAR  Чтобы избежать многократной регистрации одних и тех же активов, CMDB применяет систему правил их идентификации. Правила работают на основе различных устойчивых идентификаторов (связки IP-адресов / FQDN / имен хостов, MAC-адрес, идентификатор EDR-агента, GUID объекта компьютерной учетной записи в Active Directory и т. д.). В результате CMDB обеспечивает аналитиков SOC актуальным списком активов и корректной привязкой алертов, инцидентов и рекомендаций по безопасности.Для автоматизированного наполнения активами встроенной CMDB в BI.ZONE SOAR предусмотрен механизм идентификации активов, включающий три этапа:На этапе формирования схемы данных определяется, какие поля в «сыром» событии соответствуют полям актива в CMDB.Правила фильтрации активов настраивают точный отбор событий для конкретного правила идентификации актива из всего потока информации.Правила идентификации активов описывают, на основе каких устойчивых идентификаторов модуль должен выполнить поиск по базе существующих активов, чтобы обновить информацию в активе или создать новый.В совокупности модуль предоставляет команде SOC систему, которая автоматически наполняется ключевыми данными об активах внутри инфраструктуры. При этом команда кибербезопасности по-прежнему может вручную редактировать состояние актива, добавлять информацию в нужные поля, детализировать описания, а также изменять критическую значимость актива. Последнее может влиять на приоритет создаваемого алерта: чем выше значимость актива, тем более приоритетным является зарегистрированный по нему алерт.Общие возможности BI.ZONE SOAR Помимо ключевых возможностей, описанных выше, есть и общие функции: индивидуализация карточек, сквозной вход, мультиарендность и прочее. Рассмотрим и их тоже.Кастомизация карточек инцидентовВозможности кастомизации в современной SOAR-системе — важное условие для многих SOC, потому что гибкость конфигураций позволяет быстро адаптировать платформу под реальные требования и потребности организации. В BI.ZONE SOAR реализованы возможности кастомизации как самой платформы, так и отдельных объектов внутри нее.Типы карточекBI.ZONE SOAR опирается на систему справочников. Они выполняют роль каталогов заданных значений и обеспечивают возможность их переиспользования. Справочники используются для добавления в систему категорий, подкатегорий, решений, приоритетов, типов карточек и других объектов. Рисунок 26. Добавление нового типа карточки в BI.ZONE SOAR При интеграции разных компонентов и подключении внешних систем используется одна и та же система справочных значений. Отдельные записи можно настроить так, чтобы они не были видимы на клиентском портале системы автоматизации процесса обработки киберинцидентов BI.ZONE SOC Portal.В BI.ZONE SOAR можно создавать пользовательские карточки на основе трех базовых типов:Alert. Предназначен для регистрации алертов от защитных решений. В зависимости от потребностей организации события из разных СЗИ могут регистрироваться внутри одного типа алертов или быть разделены на несколько специализированных (например, «EDR-алерт», «SIEM-алерт», «Сетевой алерт»). Incident. Служит контейнером инцидентов и аккумулирует один или несколько связанных алертов. Внутри фиксируются гипотезы и артефакты, связи с активами, задачи на устранение последствий, а также история действий и коммуникаций. Этот базовый тип также позволяет использовать интерфейс и инструменты для обработки алертов (агрегация, группировка, шаблонизация и т. п.).Issue. Универсальная сущность для карточек, которые могут использоваться для контроля выполнения операционных задач. Такие карточки могут связываться с инцидентами, алертами и активами, поддерживают назначение исполнителей и т. д.Возможность добавления кастомных типов карточек позволяет подстроить структуру данных и процессы под конкретные требования организации, сохранив при этом единые принципы учета и связей между сущностями.Рабочие процессы карточекУ каждого типа карточек есть свой рабочий процесс (workflow) — последовательность состояний, отражающих этапы выполнения. Воркфлоу может быть настроен в соответствии с потребностями организации и существующими бизнес-процессами. Рисунок 27. Рабочий процесс карточки базового типа «Incident» в BI.ZONE SOAR  Приоритет карточкиПриоритет инцидента и потенциальные риски зависят от контекста организации: методологии оценки, специфики отрасли, критической значимости сервисов и связанных информационных систем. Настройка позволяет задать собственную шкалу приоритетов.  Рисунок 28. Настройка приоритета карточки в BI.ZONE SOAR Категории Категории и подкатегории используются в BI.ZONE SOAR для классификации инцидентов и алертов по типу угрозы, объектам воздействия, вектору атаки и другим признакам. Это позволяет классифицировать инциденты, обрабатываемые SOC, и собирать статистику по типам инцидентов в организации. Платформа позволяет настраивать собственный справочник категорий либо использовать предустановленные категории (например, «Malware», «Фишинг», «DDoS», «Внутренний нарушитель»).РешенияНа платформе BI.ZONE SOAR решение — это итоговое состояние, которым была завершена обработка карточки. В зависимости от типа карточки (инцидент, алерт или базовая карточка) набор возможных решений может отличаться. Система предоставляет возможность настроить отдельные списки решений для разных типов, что повышает точность учета и удобство работы аналитиков.Кастомные поляДля каждого типа карточки можно добавить кастомные поля, чтобы фиксировать именно те сведения, которые действительно используются в работе, а также формировать полные и релевантные шаблоны. Кастомные поля помогают адаптировать систему под конкретные бизнес-процессы организации и дают возможность сохранять важные атрибуты (например, ответственное подразделение, категория персональных данных, клиентский идентификатор, номер внешнего тикета, регион, поставщик и т. д.). Рисунок 29. Добавление пользовательского поля в карточку Параметры внешней видимости настраиваются для каждого поля отдельно. Это позволяет отображать в BI.ZONE SOC Portal только определенные атрибуты карточки и сделать конфиденциальные поля доступными исключительно для команды SOC.Поддержка сквозного входа (SSO) Single Sign-On (SSO) поддерживается на платформе за счет протокола аутентификации пользователей OpenID Connect. Это означает, что пользователи могут входить в систему через единый корпоративный центр идентификации: им не нужно хранить отдельный пароль для еще одной системы, а администраторам безопасности контролировать актуальность локальных учетных записей в BI.ZONE SOAR. В качестве SSO-провайдеров могут использоваться как отечественные решения, например BI.ZONE ID, так и опенсорс (Keycloak, WSO2 и т. д.). Рисунок 30. Вход в BI.ZONE SOAR  Для администратора платформы настройка SSO в BI.ZONE SOAR сводится к конфигурированию OpenID-провайдера с необходимыми параметрами. После настройки пользователю достаточно иметь активную сессию корпоративного SSO. Если активная сессия не установлена, то при входе на платформу происходит перенаправление на сервер единого входа (OpenID Provider). Затем после успешной проверки SOAR получает токен, по которому разрешается вход пользователя с соответствующими правами.МультиарендностьМультиарендность в BI.ZONE SOAR — это разделение одной инсталляции на независимые логические объекты (тенанты), каждый из которых соответствует отдельной инфраструктуре или организации. Тенант выступает изолированным контейнером: карточки одного тенанта недоступны пользователям другого. Это особенно важно, когда одна инсталляция BI.ZONE SOAR используется для работы с несколькими инфраструктурами, а в каждой инфраструктуре есть своя команда кибербезопасности, которая не должна иметь доступ к соседнему тенанту. Это актуально в случаях, когда организация включает несколько дочерних обществ, в каждом из которых своя команда. Если одному или группе пользователей нужно иметь доступ сразу к нескольким инфраструктурам, им может быть предоставлен доступ к нескольким тенантам.Ролевое разграничение доступа Безопасность платформы строится на строгом разграничении прав доступа. BI.ZONE SOAR поддерживает ролевую модель, в которой каждая роль настраивается из набора доступных разрешений. В зависимости от задачи конкретному пользователю можно назначить набор разрешений напрямую либо предоставить роли, которые их содержат.Область действия ролей может ограничиваться конкретным тенантом или типами карточек.  Рисунок 31. Ролевое разграничение доступа в BI.ZONE SOAR Все изменения фиксируются в журналах аудита, что упрощает соответствие внутренним политикам и требованиям регуляторов, а также поддерживает принцип наименьших привилегий и разделение обязанностей. В результате ускоряется онбординг новых пользователей, а также упрощается процесс актуализации учетных записей при изменении в составе команд.ДашбордыДашборды решают задачу оперативной видимости для SOC: в одном месте отображаются входящий поток инцидентов, соблюдение SLA, распределение по критической значимости и категориям, а также другие ключевые показатели. Фильтры по инфраструктуре, источнику события, типу карточки и исполнителю помогают перейти от общей картины к анализу конкретной выборки или временного периода. Рисунок 32. Интерфейс дашборда в BI.ZONE SOAR Помимо оперативного использования, дашборды дают тактическое и стратегическое представление о работе процесса. Тренды по неделям и месяцам показывают, каких типов инцидентов становится больше, где появляются повторные сценарии и какие источники дают наибольший вклад в количество регистрируемых алертов. Распределения по сработавшим правилам, активам и техникам MITRE ATT&CK помогают выявлять узкие места в центре мониторинга.ОтчетыОтчетные документы нужны руководству, аудиторам, заказчикам и регуляторам. BI.ZONE SOAR позволяет формировать отчеты за выбранный период и устанавливать механизм их формирования: вручную или по расписанию. Если для отчета задается расписание, он периодически формируется и отправляется на почту. Для кастомизации отчетов поддерживаются возможности по добавлению пользовательского шаблона с брендированием и настройкой разделов. Рисунок 33–34. Формирование отчетных документов в BI.ZONE SOAR  Система документацииВстроенная система документации позволяет команде кибербезопасности хранить и поддерживать в актуальном состоянии:инструкции по расследованию инцидентов;методики снятия и сохранения артефактов для компьютерной криминалистики;регламенты эскалаций и коммуникаций при происшествиях;чек-листы для проверки защищенности хоста;шаблоны отчетности.Рисунок 35. Интерфейс системы документации в BI.ZONE SOAR База документов доступна на BI.ZONE SOC Portal, а потому позволяет внешним командам быстро находить нужные материалы и документы без обращений к команде кибербезопасности. Такой подход ускоряет координацию между подразделениями и уменьшает число ошибок при передаче знаний.КоннекторыВ современных SOC решения класса SOAR выступают операционным ядром: в них попадают данные из различных средств защиты и систем, а затем отсюда инициируются действия по расследованию и реагированию. Для BI.ZONE SOAR критически важно иметь возможности для подключения к внешним источникам данных. Для этого на платформе предусмотрено несколько способов, которые позволяют встроить BI.ZONE SOAR в уже работающий ИТ-ландшафт и развивать интеграции по мере роста потребностей центра мониторинга.На текущий момент система поддерживает следующие виды коннекторов:Коннекторы сбора алертов. Предназначены для приема алертов из внешних источников различных типов и их приведения к единой схеме. Такие коннекторы выполняют нормализацию и отправляют алерты на дальнейшую обработку в «Алерт-менеджер».Коннекторы для сбора данных об активах. Предназначены для сбора инвентаризационной информации об ИТ-активах внутри инфраструктуры. Коннекторы могут использовать в качестве источников данных Active Directory, решения класса EDR, антивирусное программное обеспечение и другие системы. Как и в случае алертов, собранные данные приводятся к единой схеме, после чего отправляются в CMDB.Коннекторы для активного реагирования. Предназначены для выполнения действий по реагированию во внешних системах из SOAR. Например, так могут вызываться изоляция хоста через EDR, блокировка IP-адреса / URL на сетевых средствах, отключение учетной записи в AD, блокировка ящика отправителя на почтовом шлюзе и т. д.Предусмотрено также взаимодействие в рамках сторонних интеграций.Сторонние интеграцииКаждая организация и ее внутренняя инфраструктура уникальны, поэтому бизнес-требования и рабочие сценарии часто выходят за рамки типового использования. Это вызывает кейсы взаимодействия с SOAR, которые изначально не предусмотрены вендорами, поэтому критически важна гибкая интегрируемость с ранее развернутыми системами. В таких случаях BI.ZONE SOAR может выступать не только системой управления инцидентами, но и быть источником данных. Это актуально в случаях, когда организация использует платформу бизнес-аналитики (BI) с настроенной витриной данных либо кастомные механизмы запуска автоматизаций. Рисунок 36–37. Пример витрины на основе данных, получаемых из BI.ZONE SOAR в SOC  Для таких интеграций предусмотрено три варианта взаимодействия:REST API. Набор конечных точек для выполнения различных действий, которые могут вызываться как через пользовательский интерфейс, так и внешние системы автоматизации.Чтение из базы данных продукта. Позволяет получать сведения напрямую из базы данных продукта посредством выполнения необходимых SQL-запросов и экспортировать их в другие решения — например, BI-платформу или корпоративное хранилище (DWH).Событийная шина. Дает возможность другим системам подписываться на происходящие системные события внутри событийной шины и выполнять действия при наступлении необходимых событий.Таковы основные возможности. Рассмотрим далее минимальные системные требования.Минимальные требования к аппаратным ресурсамВендор советует разворачивать отказоустойчивую инсталляцию на базе Kubernetes и придерживаться рекомендуемых аппаратных характеристик, поскольку для BI.ZONE SOAR критически важны стабильность и производительность всего контура. Система не должна работать медленно или нестабильно и тем более допускать простои: даже при выводе из строя одной ноды платформа должна сохранить доступность, так как выполняет критически важную роль для мониторинга защищенности организации. Также рекомендуется оставлять запас по объему аппаратных ресурсов для пиковых потоков алертов и работы фоновых задач, чтобы поддерживать целевые SLA и время отклика.  Таблица 1. Аппаратные требования BI.ZONE SOARТип узлаКоличествоЦП, vCoreОЗУ, ГБSSD, ГБk8s-master38850k8s-storage588550k8s-worker581650k8s-load-balancer22220 Типовые схемы внедрения BI.ZONE SOARПлатформа может использоваться в широком кругу организаций — от компаний, которые только строят свой внутренний (in-house) SOC, до холдингов с несколькими инфраструктурами и MSS-провайдеров. Гибкая архитектура BI.ZONE SOAR позволяет внедрять платформу в разных моделях в зависимости от текущих команд кибербезопасности. Ниже рассмотрены три основных схемы развертывания BI.ZONE SOAR.Базовая инсталляция для внутреннего SOCВ модели «in-house SOC» платформа BI.ZONE SOAR разворачивается внутри инфраструктуры заказчика и становится ядром центра мониторинга. В этой конфигурации, как правило, используется один тенант, поскольку нет потребности в мультитенантности: работает одна команда кибербезопасности, которая напрямую взаимодействует с ИТ- и бизнес-подразделениями. SOAR интегрируется с внутренними системами компании и объединяет их в единое окно для команды безопасности. Это позволяет внутреннему SOC оперативно получать информацию обо всех инцидентах из разных источников и управлять их жизненным циклом — от поступления алерта до закрытия инцидента. Рисунок 38. Схема базовой инсталляции по модели «in-house»  Мультитенантная инсталляция для крупных SOC и MSSPПлатформа поддерживает мультитенантную архитектуру, за счет чего одна инсталляция может сопровождать несколько защищаемых инфраструктур. Данные инцидентов, алертов, активов и отчетов одной инфраструктуры недоступны пользователям из другой, так как доступ разграничен на уровне тенанта. Подход применим в случаях, когда один центр мониторинга защищает несколько организаций одновременно и выстраивает централизованный процесс обработки инцидентов на базе единого решения, без развертывания множества локальных инсталляций.Этот сценарий внедрения полезен для крупных компаний со сложной организационно-штатной структурой, когда существует центральная служба кибербезопасности, отвечающая за организацию в целом, и при этом сформированы локальные команды кибербезопасности, отвечающие только за периметр отдельного филиала или дочерней организации. В BI.ZONE SOAR сценарий реализуется через гибкое разграничение прав: пользователи локальных команд видят и обрабатывают только свои тикеты и объекты, а центральная команда управляет кросс-тенантными настройками. Рисунок 39. Схема мультитенантной инсталляции BI.ZONE SOAR В сочетании с BI.ZONE SOC Portal поддержка мультитенантности делает платформу особенно актуальной для решения задач MSSP. BI.ZONE SOC Portal позволяет MSSP-провайдерам предоставить своим клиентам доступ к личному кабинету с видимостью статусов инцидентов, возможностями для обмена комментариями и другими функциями.Инсталляция с поддержкой интеграции BI.ZONE TDRЭта схема внедрения позволяет развернуть полноценную инсталляцию внутри инфраструктуры заказчика и в ней же получать информацию об инцидентах от SOC-команды BI.ZONE.  Рисунок 40. Схема инсталляции с поддержкой интеграции BI.ZONE TDR Инсталляция с поддержкой интеграции BI.ZONE TDR актуальна для клиентов сервиса, которым недостаточно личного кабинета клиента SOC и необходимо решение для самостоятельного управления жизненным циклом инцидентов. Предполагается, что в таком сценарии внедрения клиент сможет конфигурировать инсталляцию BI.ZONE SOAR под свои задачи, а также настроить интеграцию с облачным клиентским порталом сервиса BI.ZONE TDR.ВыводыНесмотря на то что BI.ZONE SOAR официально была выпущена на рынок в 2025 году, платформа зарекомендовала себя как зрелое решение со всеми необходимыми инструментами для выстраивания процессов и систематизации работы центров мониторинга. BI.ZONE SOAR — это комплексное решение для управления инцидентами, способное удовлетворить потребности современных SOC как с технической, так и с управленческой стороны. Внедрение платформы способствует повышению киберустойчивости организации, снижению рисков и обеспечению непрерывности бизнеса даже перед лицом постоянно усложняющихся кибератак.Решение активно развивается и пополняется новыми возможностями. Ключевое преимущество BI.ZONE SOAR в том, что платформа разработана на основе многолетнего опыта команды SOC в BI.ZONE и учитывает потребности аналитиков центра мониторинга. Поэтому BI.ZONE SOAR существенно сокращает нагрузку на команду SOC, повышает прозрачность процессов обработки алертов и инцидентов, а также помогает выстроить эффективное взаимодействие между командами. Все это повышает эффективность работы SOC.Экспертный опыт команды и опыт эксплуатации в SOC стали фундаментом BI.ZONE SOAR, которая прошла путь от внутреннего инструмента до масштабируемой, высоконагруженной платформы, соответствующей требованиям крупнейших организаций и MSSP. BI.ZONE SOAR также входит в реестр отечественного ПО, что подтверждает соответствие решения требованиям российского законодательства.Достоинства:Гибкая настройка под клиента — поддержка кастомных полей и типов карточек для адаптации процессов под конкретные задачи.Удобный интерфейс — динамическое отображение карточек с помощью системы виджетов.Единый коммуникационный портал — встроенная площадка для взаимодействия с защищаемыми организациями и внешними командами.Высокая надёжность — доступен отказоустойчивый вариант поставки.Собственный ИИ-ассистент — помогает аналитикам быстрее понимать инциденты и работать эффективнее.Передовая работа с алертами — регистрация, агрегация, группировка и приоритизация событий для снижения нагрузки на аналитиков.Недостатки:Ограниченные сценарии автоматизации — в текущей версии отсутствует поддержка сложных многоступенчатых процессов, доступна автоматизация только базовых действий.Недостаток готовой экспертизы в комплекте — продукт пока поставляется без обширного набора готовых плейбуков и методик, но развитие контента заявлено в дорожной карте.Ограниченный набор интеграций — сейчас реализованы коннекторы к наиболее популярным системам, при этом их количество последовательно расширяется.Реклама, 18+. ООО «БИЗон» ИНН 9701036178.ERID: 2Vfnxxb8BttЧитать далее
    • Ego Dekker
      ESET Cyber Security был обновлён до версии 9.0.5300.
×