Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

AktualnościCiekawostki

Co nowego na platformie GravityZone w sierpniu 2024 r. (wersja 6.53)?

Piotr R

9 sierpnia 2024

5 sierpnia Bitdefender wprowadził nową funkcjonalność w Bitdefender GravityZone, kompleksowej platformie cyberbezpieczeństwa, która zapewnia możliwości zapobiegania, ochrony, wykrywania i reagowania dla każdej organizacji niezależnie od jej wielkości. Funkcje te, zgodne z wielowarstwową strategią bezpieczeństwa, mają na celu ułatwienie pracy analitykom ds. bezpieczeństwa, administratorom i użytkownikom.

Pracownik Bitdefender

Co nowego dla analityków ds. bezpieczeństwa?

W dynamicznym krajobrazie cyberbezpieczeństwa analitycy ds. bezpieczeństwa są odpowiedzialni za odkrywanie wszelkich oznak potencjalnie wyrafinowanych ataków, aby uczynić to, co niewidoczne, widocznym. Ta sekcja opisuje nową funkcjonalność zaprojektowaną w celu zwiększenia możliwości analityków, oferując ulepszone narzędzia do wykrywania zagrożeń, badania ich i reagowania.

Monitoruj wiele podsieci za pomocą jednego czujnika sieciowego

Czujniki w Bitdefender GravityZone aktywnie monitorują infrastrukturę IT, taką jak urządzenia, sieci, chmura, tożsamości i aplikacje zwiększające produktywność, pod kątem potencjalnych zagrożeń, w tym ataków ransomware. Network Sensor analizuje ruch sieciowy w celu wykrywania i zapobiegania ruchom bocznym, eksfiltracji danych, skanowaniu portów i atakom siłowym, zapewniając kluczowe informacje na temat zagrożeń sieciowych.

Dzięki najnowszej aktualizacji możesz monitorować wiele podsieci sieciowych za pomocą jednego urządzenia Network Sensor Virtual Appliance. Możesz teraz skonfigurować wiele sieci VLAN do monitorowania, a dodając definicje routerów sieciowych dla swoich sieci, czujnik i silnik korelacji mogą lepiej zrozumieć topologię sieci i przepływ ruchu. Aby zapobiec konfliktom adresów IP i MAC spowodowanym przez podsieci z nakładającymi się przestrzeniami adresowymi, możesz zdefiniować identyfikatory grup, aby logicznie podzielić infrastrukturę sieciową, zapewniając w ten sposób, że wykrycia z takich sieci są rozróżniane i dokładnie oznaczane.

Ta nowa funkcjonalność będzie dostępna automatycznie w istniejących czujnikach sieciowych. Jednak aby skorzystać z tych ulepszeń, obecni klienci będą musieli ponownie skonfigurować swoje istniejące urządzenia wirtualne.

Co nowego dla administratorów?

Ponieważ administratorzy nieustannie żonglują licznymi zadaniami i obowiązkami, narzędzia zaprojektowane w celu ułatwienia im codziennych zadań są wysoko cenione. Ta sekcja opisuje nową funkcjonalność zaprojektowaną w celu ułatwienia zarządzania funkcjami odpowiedzialnymi za zapobieganie, ochronę i wykrywanie w architekturze bezpieczeństwa.

Automatyczna odpowiedź na niestandardowe reguły

Do tej pory można było używać niestandardowych reguł wykrywania w celu definiowania reguł oznaczających określone zachowania (niestandardowe wskaźniki IoC) ze środowiska jako prawidłowe wykrycie i generować odpowiednie raporty na stronie Incydenty.

W najnowszej wersji możesz przypisać automatyczne akcje do niestandardowych reguł wykrywania. W zależności od licencji możesz ustawić następujące akcje odpowiedzi:

Izoluj – izoluje punkt końcowy, w którym nastąpiło wykrycie.

Zbierz pakiet dochodzeniowy – zbiera odpowiednie dane i dzienniki z systemu, w którym nastąpiło wykrycie. Pakiet zostanie zapisany lokalnie po stronie punktu końcowego i można go pobrać za pomocą opcji pobierania pliku w sekcji Dochodzenie w szczegółach punktu końcowego.

Dodaj do Sandboxa – wyślij plik, który wywołał wykrycie, do Sandbox Analyzer.

Zabij proces – zakończ proces, który wywołał wykrycie. Możesz wybrać uwzględnienie procesu nadrzędnego i procesów podrzędnych.

Skanowanie antymalware – uruchom skanowanie na żądanie na punkcie końcowym, który wywołał wykrycie. Możesz wybrać między szybkim i pełnym skanowaniem.

Kwarantanna – poddaj kwarantannie plik lub proces, który wywołał wykrycie. Możesz wybrać uwzględnienie procesu nadrzędnego i plików lub procesów podrzędnych.

Skanowanie ryzyka – uruchom skanowanie ryzyka na punkcie końcowym, który wywołał wykrycie.


Możesz wybrać jedną lub wiele akcji i określić ich priorytet, przeciągając i upuszczając automatyczne akcje z góry na dół. Spowoduje to ustalenie kolejności wykonywania akcji, przy czym akcje będą wykonywane sekwencyjnie jedna po drugiej, bez czekania na wyniki poprzedniej. Akcje będą wykonywane podczas wykrywania bez żadnej zależności od łączności punktu końcowego z GravityZone Cloud.

Na przykład po przeczytaniu naszej analizy skoordynowanego ataku ransomware na sieci korporacyjne przeprowadzonego przez grupę Cactus ransomware możesz utworzyć własne reguły wykrywania oparte na wskaźniku IoC podanym w artykule. Korzystając z adresów IP C2, możesz utworzyć regułę, zgodnie z którą po wykryciu zainfekowany host zostanie odizolowany, utworzony zostanie pakiet dochodzeniowy, a skanowanie antymalware i ryzyka zostanie wykonane.

Wszystkie konfiguracje są rejestrowane i dostępne do przeglądu z pełnymi szczegółami w sekcji User Activity. Wszystkie działania zostaną zgłoszone i wyświetlone w sekcji GravityZone Incident z pełnymi szczegółami.

Nowe zasady listy blokowania

Używając GravityZone, możesz blokować aplikacje na podstawie kontroli aplikacji w zasadach kontroli treści i blokować ruch na podstawie zasad zapory. Dzięki subskrypcji EDR masz dodatkową możliwość blokowania aplikacji na podstawie hasha w sekcji Blocklist w obszarze Incidents.

Bitdefender ulepszył Blocklistę o najnowszą aktualizację, dodając blokowanie aplikacji na podstawie ścieżki i blokowanie połączeń. Oprócz istniejących reguł skrótu możesz teraz dodawać bloki na podstawie ścieżek aplikacji. Ta funkcja działa na punktach końcowych systemu Windows, w których moduły Content Control i Application Blacklisting są aktywne w konfiguracji zasad. Aby skonfigurować nowe bloki połączeń z akcją odmowy, moduł zapory musi być zainstalowany i aktywny na punktach końcowych systemu Windows. Wszystkie zmiany konfiguracji są rejestrowane i dostępne do przejrzenia w sekcji User Activity.

Ważne jest, aby pamiętać, że wszystkie reguły listy blokowania są stosowane przed ustawieniami zasad, takimi jak kontrola treści lub konfiguracja zapory. Wszystkie punkty końcowe spełniające wymagania opisane w poprzednim akapicie automatycznie zaczną stosować te reguły.

Możesz także importować lokalne pliki CSV, aby łatwo dodawać wiele reguł naraz lub automatyzować zadanie przy użyciu najnowszej wersji interfejsu API udostępnionej do zbiorczego tworzenia reguł.

Ulepszenia zaawansowanej kontroli zagrożeń

Advanced Threat Control proaktywnie i dynamicznie wykrywa złośliwe zachowania poprzez ciągłe monitorowanie aktywności procesów w czasie rzeczywistym.

Ochrona poufnego rejestru, istniejący komponent ATC, został ulepszony w celu zabezpieczenia krytycznych kluczy rejestru, w tym tych powiązanych z Menedżerem kont zabezpieczeń (SAM), przed nieautoryzowanym dostępem lub wykorzystaniem za pośrednictwem protokołu Windows Remote Registry Protocol (MS-RRP), który służy do zdalnego zarządzania rejestrem systemu Windows.

Aby to zobrazować, wyobraźmy sobie niezabezpieczoną maszynę z nieautoryzowanym dostępem. Rejestr SAM przechowuje zahaszowane hasła dla lokalnych kont użytkowników. Atakujący mogą używać technik eksploatacji, takich jak złośliwe zrzucanie kluczy rejestru, aby wyodrębnić rejestr SAM, a następnie próbować złamać zahaszowane hasła. Uzbrojony w prawidłowe dane uwierzytelniające, atakujący może spróbować połączyć się z inną zdalną maszyną za pomocą MS-RRP i pobrać jej klucze SAM. Jeśli ATC jest aktywny na zdalnej maszynie z akcją Kill Process, zakończy proces (svchost.exe), który próbuje uzyskać dostęp do rejestru.

Możesz skonfigurować opcję Zabij proces lub Tylko raport dla każdej nowej lub istniejącej polityki w sekcji konfiguracji Ochrona przed złośliwym oprogramowaniem > Podczas wykonywania > Zaawansowana kontrola zagrożeń.

Nowe zadanie przesyłania analizatora piaskownicy

Usługa Sandbox Analyzer dogłębnie analizuje podejrzane pliki poprzez detonowanie ładunków w zamkniętym środowisku wirtualnym hostowanym przez Bitdefender, obserwując ich zachowanie, zgłaszając subtelne zmiany w systemie, które wskazują na złośliwe intencje, i dostarczając przydatnych informacji.

W najnowszej wersji możesz przesyłać pliki do Sandbox Analyzer bezpośrednio z sekcji Sieć, Prześlij do Sandbox Analyzer.

Określ dokładną lokalizację pliku(ów), które chcesz zdetonować. Możesz wybrać maksymalnie pięć plików na próbę. Aby uzyskać większą kontrolę, możesz wybrać uruchomienie określonych poleceń, które zostaną wykonane, gdy rozpocznie się detonacja.

Wszystkie zadania przesyłania są rejestrowane w sekcji User Activity ze szczegółami, takimi jak kto utworzył zadanie, jakie ścieżki zostały dodane, kiedy zostało utworzone i jakie polecenia (jeśli takie istnieją) zostały wymienione w zadaniu. Raport analizy sandbox jest dostępny tylko w sekcji Sandbox Analyzer.

Przedstawiamy nową sekcję sieciową w GravityZone

Zaczynając od przeprojektowania konfiguracji zasad dostarczonego w zeszłym miesiącu, z przyjemnością wprowadzamy nową sekcję Network w interfejsie konsoli GravityZone. Po zapisaniu się do Early Access Program, możesz znaleźć tę przeprojektowaną sekcję w głównym menu GravityZone, oznaczoną jako EA Network. Poprzednio używana sekcja Network pozostanie dostępna dla Ciebie w tym okresie przejściowym.

Dzięki nowemu interfejsowi sieciowemu możesz skutecznie monitorować stan punktów końcowych, przydzielać zasoby i rozwiązywać problemy. Ta aktualizacja zawiera elementy graficzne, takie jak ikony reprezentujące firmy, maszyny wirtualne i fizyczne, kontenery, a także przeprojektowany widok drzewa z nowymi filtrami i opcjami wyszukiwania. Stworzyliśmy również kilka domyślnych inteligentnych widoków opartych na określonych regułach filtrowania dla wykrywania urządzeń.

Bitdefender – kluczowe wnioski

Platforma Bitdefender GravityZone wyróżnia się z tłumu, oferując kompleksowe rozwiązanie dla wszystkich potrzeb bezpieczeństwa Twojej organizacji. Wraz z rozwojem cyfrowego krajobrazu Bitdefender pozostaje proaktywny, zapewniając możliwości zapobiegania, ochrony, wykrywania i reagowania, zapewniając stałe bezpieczeństwo organizacji każdej wielkości na całym świecie.

Aby dowiedzieć się więcej o platformie Bitdefender GravityZone, skontaktuj się z nami, lub sprawdź tę stronę.

 


Autor


Piotr R

Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.

Zobacz posty autora


Artykuły które mogą Ci się spodobać

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy