BI.Zone TDR (Threat Detection and Response)

Основная статья: Security Information and Event Management (SIEM)

BI.Zone TDR (Threat Detection and Response) - сервис для выявления и реагирования на киберугрозы, а также управление киберинцидентами на всех этапах.

2025

Автоматическое выявление небезопасных настроек и анализ сетевого трафика с помощью Suricata

BI.ZONE 22 октября 2025 года представила данные о развитии сервиса мониторинга и реагирования на киберугрозы BI.ZONE TDR: клиентам стали доступны обновление инструмента Threat Prediction, анализ сетевого трафика на базе Suricata, а также бот для оперативного управления работой сервиса.

В BI.ZONE TDR обновилась функция Threat Prediction, которая подразумевает автоматизированное выявление небезопасных настроек. По данным BI.ZONE TDR, 2 из 3 корпоративных компьютеров содержат хотя бы одну мисконфигурацию, а 20% всех хостов содержат хотя бы одну мисконфигурацию уровня high, которая позволяет злоумышленникам за один шаг реализовать свою цель в инфраструктуре.

Threat Prediction в BI.ZONE TDR позволяет обнаружить мисконфигурации в операционных системах Windows, Linux и macOS. Последнее обновление функции расширило набор правил обнаружения небезопасных настроек — добавилась поддержка прикладных систем Active Directory, Kubernetes, Samba, FreeIPA, ClickHouse. Среди распространенных мисконфигураций в Active Directory — небезопасные настройки делегирования прав, избыточные разрешения на уровне групп, слабые пароли. Threat Prediction для Kubernetes в том числе позволяет обнаружить такие небезопасные настройки, как анонимный доступ к API K8s, возможность запуска привилегированных контейнеров, отсутствие TLS для коммуникации между кластерами и другие. Злоумышленники используют эти мисконфигурации для продвижения и повышения привилегий в атакуемой ИТ-инфраструктуре.Создатели ALT Linux – о сложной судьбе свободного ПО, роли Максута Шадаева и сделке с «Ростелекомом». Подкаст TAdviser 17.4 т

В сервис BI.ZONE TDR был добавлен анализатор сетевого трафика (network traffic analysis, NTA) на базе системы обнаружения и предотвращения вторжений Suricata. Анализатор сетевого трафика предоставляет дополнительный уровень обнаружения угроз, среди которых, например, DNS-туннелирование и атака DCSync, имитирующая поведение контроллера домена.

Решения класса EDR — важнейший инструмент SOC. Но, как и любое агентское решение, агент EDR ограничен ресурсами хоста и сконцентрирован на мониторинге активности на конечной точке, меньшее внимание уделяя сетевому трафику, особенно в части анализа протоколов прикладного уровня. Кроме того, обеспечить 100% покрытия инфраструктуры агентами, как правило, невозможно. По этой причине мы дополнили наши детектирующие решения системой класса NTA для анализа сетевого трафика, которая позволяет эффективно обнаруживать такие угрозы, как скрытые каналы коммуникации вредоносного ПО, техники горизонтального перемещения в инфраструктуре, а также сигнатуры трафика, характерные для утилит злоумышленников, сказал Андрей Шаляпин, руководитель BI.ZONE TDR.

Внедрение BI.ZONE Cubi

В продукты и сервисы BI.ZONE добавлен AI-ассистент. Об этом компания сообщила 7 августа 2025 года.

BI.ZONE Cubi помогает эффективнее обнаруживать угрозы и реагировать на киберинциденты, используя возможности технологии GenAI.

Высокая скорость реагирования на инциденты — одно из важнейших условий противостояния современным киберугрозам, ведь злоумышленникам может быть достаточно одного часа, чтобы успеть продвинуться внутри атакуемой инфраструктуры и нанести ущерб.

AI-ассистент BI.ZONE Cubi позволяет ускорить процесс первичного анализа и реагирования в среднем на 40%. Это происходит благодаря автоматизации рутинных действий по обработке, структуризации и анализу больших объемов технических данных.

Искусственный интеллект — важный элемент нашей продуктовой стратегии. AI-ассистент BI.ZONE Cubi разработан с учетом практического опыта нашего SOC, работающего в рамках сервиса BI.ZONE TDR, — одного из центров мониторинга и реагирования на инциденты. Уже на август 2025 года более 30% алертов и инцидентов обрабатываются и автоматически закрываются в BI.ZONE TDR с помощью AI/ML-технологий, и этот показатель продолжает расти. Более того, аналитики SOC всегда могут обратиться за консультацией к AI-ассистенту при обработке любого алерта или инцидента. Весь этот проверенный на практике опыт мы переносим в другие решения и продукты BI.ZONE, чтобы эксперты могли, опираясь на возможности искусственного интеллекта, высвобождать свое время для решения действительно сложных задач, сказал Муслим Меджлумов, директор по продуктам и технологиям, BI.ZONE.

Помимо BI.ZONE TDR, AI-ассистент BI.ZONE Cubi уже на август 2025 года доступен в других продуктах BI.ZONE. Так, пользователи BI.ZONE EDR могут воспользоваться им для помощи в написании SQL-запросов к хранилищу. А в рамках продукта BI.ZONE SOAR AI-ассистент поможет сформировать саммари с рекомендациями по алерту и проанализировать и объяснить командные строки, используя уникальные данные из BI.ZONE Threat Intelligence.

В дальнейшем планируется добавить AI-ассистент BI.ZONE Cubi в другие продукты и сервисы BI.ZONE.

2024: Использование при создании системы мониторинга и реагирования на киберинциденты в «Инферит Облаке»

Эксперты BI.ZONE помогли российскому провайдеру «Инферит Облако» (входит в экосистему «Инферит» группы компаний Softline) внедрить функцию мониторинга и реагирования на киберинциденты. Сервис BI.ZONE TDR позволил создать систему, обеспечивающую полный цикл управления инцидентами — от обнаружения до их устранения. Об этом BI.Zone сообщила 17 декабря 2024 года. Подробнее здесь.