Co nowego w GravityZone? Kwiecień 2025

Bitdefender niedawno wprowadził nową funkcjonalność w Bitdefender GravityZone, kompleksowej platformie cyberbezpieczeństwa, która zapewnia możliwości zapobiegania, ochrony, wykrywania i reagowania dla organizacji każdej wielkości. Nowe funkcje, zgodne z naszą wielowarstwową strategią bezpieczeństwa, ułatwiają pracę analitykom ds. bezpieczeństwa, administratorom i użytkownikom.

Co nowego dla analityków ds. bezpieczeństwa

W dynamicznym krajobrazie cyberbezpieczeństwa analitycy bezpieczeństwa są odpowiedzialni za odkrywanie wszelkich oznak potencjalnie wyrafinowanych ataków i uczynienie niewidocznych widocznymi. Ta sekcja opisuje nową funkcjonalność zaprojektowaną aby zwiększyć możliwości analityków, oferując ulepszone narzędzia do wykrywania zagrożeń, badania ich i reagowania.

Ulepszenia czujnika AD

Czujniki w Bitdefender GravityZone aktywnie monitorują infrastrukturę IT – urządzenia, sieci, chmurę, tożsamości i aplikacje zwiększające produktywność – pod kątem potencjalnych zagrożeń, w tym ataków ransomware. Zapewnia to pełną widoczność aktywności sieciowej, umożliwiając zatrzymanie ataków, zanim spowodują szkody.

Dzięki najnowszej aktualizacji uproszczono wdrażanie AD Sensor. Teraz masz możliwość zainstalowania go jako dodatku do agenta BEST, nie tylko na serwerach z rolą DC, ale także na serwerach z rolą Certificate Authority (CA). Ta elastyczna opcja wdrażania usprawnia instalację i konfigurację lokalnego AD Sensor oraz zwiększa możliwości monitorowania i wykrywania w hybrydowych środowiskach AD. Gdy CA jest częścią domeny, a AD Sensor jest zainstalowany, podejrzane zdarzenia żądania certyfikatu mogą zostać wykryte i przekazane do mechanizmu korelacji.

Ulepszenia API

API Bitdefender Control Center umożliwiają deweloperom automatyzację przepływów pracy w firmie. Te API są udostępniane za pośrednictwem protokołu JSON-RPC 2.0, a przykłady użycia i dokumentację można znaleźć w naszym Centrum pomocy technicznej, tutaj.

W najnowszej wersji będziesz mieć cztery dodatkowe wywołania API. UpdateAccount API modyfikuje ustawienie „Metody uwierzytelniania” użytkownika. GetNetworkInventoryItems API dostarcza wyniki ryzyka dla firm i urządzeń końcowych z Risk Management. Dzięki getMissingPatches i getInstalledPatches możesz łatwo pobrać informacje o brakujących i zainstalowanych poprawkach.

Aby zwiększyć możliwości polowania na zagrożenia, Live Search API umożliwia pobieranie informacji w czasie rzeczywistym z aktywnych punktów końcowych. Punkty końcowe wykonują zadanie Live Search i przesyłają wyniki do kontenera S3 określonego w żądaniu API. Live Search umożliwia identyfikację błędnych konfiguracji i luk w zabezpieczeniach oprogramowania oraz sprawdzanie zgodności systemu z przepisami i standardami, co pozwala Twojej organizacji zachować czujność w zakresie wykrywania i reagowania na pojawiające się zagrożenia.

Aby dowiedzieć się więcej o publicznym API, odwiedź Centrum pomocy technicznej Bitdefender, tutaj.

Co nowego dla administratorów

Ponieważ administratorzy nieustannie żonglują licznymi zadaniami i obowiązkami, narzędzia zaprojektowane w celu ułatwienia im codziennych zadań są wysoko cenione. Ta sekcja opisuje nową funkcjonalność zaprojektowaną w celu ułatwienia zarządzania funkcjami odpowiedzialnymi za zapobieganie, ochronę i wykrywanie w architekturze bezpieczeństwa obrony w głąb.

Proaktywne wzmacnianie i redukcja powierzchni ataku (PHASR)

Atakujący wykorzystują zagrożone dane uwierzytelniające i niezarządzane urządzenia, aby się „zalogować”, a następnie używają podręczników wykorzystujących narzędzia „Living off the Land” (LOTL), aby połączyć złośliwe działania z normalnymi operacjami systemowymi. Podkreśla to potrzebę systemów bezpieczeństwa, które mogą dynamicznie dostosowywać się poza statycznymi, ręcznie aktualizowanymi regułami.

Bitdefender niedawno ogłosił globalną premierę GravityZone PHASR, który dynamicznie wzmacnia zabezpieczenia i redukuje powierzchnię ataku i redukcję powierzchni ataku poprzez analizę zachowań użytkowników i aplikacji, tworzenie profili behawioralnych i porównywanie ich ze znanymi podręcznikami aktorów zagrożeń, aby zapobiegać złośliwym działaniom.

GravityZone PHASR monitoruje procesy w ramach pięciu zdefiniowanych typów działań:

Living off the Land Binaries – narzędzia, takie jak PowerShell.exe, WMIC.exe i Ftp.exe, są wstępnie zainstalowane w systemie operacyjnym w celach administracyjnych i operacyjnych. Atakujący wykorzystują je do wykonywania złośliwych działań i mieszają je ze zwykłą aktywnością systemu.

Narzędzia do manipulacji – narzędzia takie jak procexp.exe, vmmap.exe i LiveKd.exe to narzędzia służące do modyfikowania aplikacji oprogramowania. Są wykorzystywane do omijania kontroli bezpieczeństwa.

Narzędzia pirackie – narzędzia pirackie, takie jak keygen i crack. Są używane do omijania licencji i aktywacji oprogramowania.

Miners – narzędzia takie jak PhoenixMiner, XMRig i CCMiner, wykorzystują moc obliczeniową komputera do generowania kryptowaluty. Są one wykorzystywane do cryptojackingu poprzez nieautoryzowaną instalację w systemie ofiary.

Narzędzia zdalnego administrowania – często używane do legalnego zarządzania systemami, narzędzia te umożliwiają zdalny dostęp i kontrolę systemów komputerowych. Atakujący używają ich do uzyskania nieautoryzowanego dostępu i wdrażania złośliwego oprogramowania.

PHASR zapewnia Ci szczegółowe strategie blokowania, w tym standardowe blokowanie aplikacji, które ogranicza całe aplikacje, takie jak Process Explorer i CCMiner, oraz blokowanie na poziomie akcji , które koncentruje się na określonych złośliwych zachowaniach w aplikacjach, takich jak używanie programu PowerShell do pobierania. To znacznie zmniejsza powierzchnię ataku i minimalizuje ryzyko udanych ataków LOTL.

PHASR działa w dwóch trybach: Autopilot do automatycznego egzekwowania zasad lub Direct Control do ręcznego przeglądu, umożliwiając Ci dostosowaną ochronę. Aby uzyskać precyzyjną kontrolę, możesz dostroić ponad 300 monitorowanych reguł PHASR bezpośrednio w GravityZone. Pozwala to dostosować PHASR do Twojego konkretnego środowiska i wymagań bezpieczeństwa, zapewniając optymalną ochronę.

PHASR wykorzystuje ciągły cykl uczenia się, analizując działania użytkowników, dostosowując się do nowych zachowań użytkowników i modyfikując istniejące monitorowane reguły – lub dostarczając nowe zalecenia. Aby uzyskać szczegółowe informacje o GravityZone PHASR, przeczytaj Wprowadzenie do proaktywnego utwardzania i redukcji powierzchni ataku.

Monitorowanie Kernel-API

Advanced Threat Control (ATC) aktywnie monitoruje zachowanie procesu w czasie rzeczywistym, aby odróżnić złośliwą aktywność od nieszkodliwej. Wykorzystuje ponad 300 heurystyk i modeli uczenia maszynowego do analizowania działań procesów i wywołań API, identyfikując zagrożenia, takie jak kradzież danych uwierzytelniających, wstrzykiwanie procesów, próby trwałości i ransomware.

W najnowszej wersji ATC ulepszone przez Kernel-API Monitoring umożliwia zaawansowane monitorowanie na poziomie jądra w celu wykrywania prób wykorzystania integralności systemu. Może na przykład wykrywać złośliwe próby manipulowania interfejsami API jądra w celu eskalacji uprawnień, takie jak nieautoryzowane modyfikacje tokenów procesów. Często wskazuje to na wysiłki atakującego mające na celu uzyskanie podwyższonych uprawnień systemowych. Ten moduł aktualizuje się automatycznie, zapewniając ciągłą ochronę bez konieczności podejmowania jakichkolwiek działań administracyjnych. Moduł jest domyślnie wyłączony i zalecamy najpierw przetestowanie go w kontrolowanym środowisku w celu sprawdzenia jego wpływu i zgodności z systemem.

Sekcja sieciowa GravityZone

Nowa sekcja Network, wprowadzona w wydaniu naszego programu EAP z sierpnia 2024 r., ewoluowała w ciągu ostatnich kilku miesięcy, aby osiągnąć swój ostateczny stan. Wraz z najnowszą wersją aktualizacji nowa sekcja Network zastępuje istniejącą sekcję w konsoli chmury GravityZone, zapewniając ulepszony interfejs i funkcjonalność dla ulepszonego zarządzania siecią.

Dwa ustawienia sieciowe z sekcji konfiguracji GravityZone, konkretnie zapisywanie filtrów inwentarza sieciowego i zapamiętywanie ostatnio przeglądanej lokalizacji w inwentarzu sieciowym do momentu wylogowania, nie są już potrzebne. Zamiast tego GravityZone automatycznie zachowuje siatkę, filtry, sortowanie i widok drzewa podczas nawigacji po innych sekcjach i między sesjami logowania, co zapewnia bardziej usprawnioną i intuicyjną nawigację.

W tej aktualizacji akcje Suspend/Resume endpoint protection, które zarządzają bezpieczeństwem punktów końcowych, są teraz dostępne również dla punktów końcowych z systemem Linux i agentem BEST. Ponadto sekcja Network oferuje teraz Guided Tour, który prowadzi przez najważniejsze sekcje Network i jest widoczny, gdy po raz pierwszy przejdziesz do każdej konkretnej sekcji. Teraz możesz również zweryfikować zastosowaną politykę w folderach, co ułatwia przeglądanie i organizowanie środowiska sieciowego. Wbudowane menu akcji umożliwia szybkie akcje na wybranych jednostkach.

Sekcja Sieć umożliwia również tworzenie firm i grup, a także zmianę nazw, przenoszenie lub usuwanie jednostek. Widoki inteligentne oferują płaską, scentralizowaną listę wstępnie zdefiniowanych i konfigurowalnych profili z zaawansowanymi opcjami filtrowania i sortowania. Integracja schowka umożliwia kopiowanie szczegółów jednostki bezpośrednio do schowka, usprawniając zadania administracyjne i raportowanie zewnętrzne. Sekcja zapewnia również elastyczny układ i filtrowanie, z pełną personalizacją kolumn (umożliwiającą wyświetlanie/ukrywanie, zmianę kolejności i rozmiaru kolumn) zgodnie z Twoimi potrzebami.

Ulepszona integracja AWS umożliwia teraz wykonywanie przypisanych działań bezpośrednio na wszystkich wykrytych instancjach EC2 w sekcji Sieć, co jeszcze bardziej rozszerza możliwości zarządzania tą funkcją.

Ulepszenia listy blokowania

Funkcja listy blokowania umożliwia zarządzanie dostępem do plików i kontrolowanie go za pomocą skrótu i ścieżki, a także blokowanie połączeń sieciowych zidentyfikowanych jako potencjalne zagrożenie podczas dochodzeń w sprawie incydentów.

W najnowszej wersji lista blokowanych plików została rozszerzona o następujące typy plików: .exe, .bat, .cmd, .js, .vbs, .ps1, .jar, .scr, .dll, .hta, .reg, .lnk, .msi, .cpl, .com, .pif i .tmp. Hash aplikacji obsługuje teraz pliki DLL dla systemu Windows, pliki .dylib dla systemu macOS i .so dla systemu Linux. Pliki skryptów są obsługiwane na platformach Windows, Linux i macOS.

Aby uzyskać bardziej szczegółową kontrolę, reguły listy blokowanych adresów utworzone w GravityZone i zdefiniowane na poziomie firmy można teraz włączać lub wyłączać w ramach polityki przypisanej do punktów końcowych.

Przeprojektowanie konfiguracji zasad

Bitdefender kontynuuje serię aktualizacji mających na celu przeprojektowanie sekcji zasad GravityZone i wdrożenie interfejsu użytkownika opartego na komponentach internetowych. Ta aktualizacja wprowadza przeprojektowane menu boczne konfiguracji zasad, zawierające grupowanie modułów w sekcjach General i Policy Monitoring.

Nowa sekcja wyszukiwania umożliwia szybkie wyszukiwanie ustawień według nazwy we wszystkich modułach w ramach konfiguracji zasad. Statusy menu bocznego teraz wyraźnie wyświetlają rzeczywisty status modułów, w tym informacje o włączonych/wyłączonych konfiguracjach i statusach błędów.

Dla ułatwienia użytkowania, znajdziesz teraz przycisk Klonuj bezpośrednio w polityce tylko do odczytu. Jest to łatwiejszy sposób klonowania polityk, których nie można modyfikować, takich jak polityki domyślne i te utworzone przez innych administratorów, których nie można modyfikować. Do tej pory można było to zrobić tylko z Policies Grid.

Aby zwiększyć widoczność i użyteczność:

• Przeprowadź konfigurację reguł dziedziczenia przeniesiono z sekcji Ogólne -> Szczegóły na odrębną stronę, dostępną w sekcji Zasady.
• Aby uzyskać bardziej intuicyjną nawigację , podzielono moduł General na moduły „Policy” i „Agent” i umieszczono obok nich moduł „Relay”. Istniejące reguły dziedziczenia zostały zaktualizowane, więc nie musisz podejmować żadnych działań, aby uwzględnić te zmiany.
• Wszystkie sekcje w ramach konfiguracji zasad, takie jak Antimalware i Sandbox Analyzer, zostały przeprojektowane.
• Przeniesiono: Wykluczenia Antymalware z sekcji Antimalware->Ustawienia do jej własnej sekcji Antimalware->Wykluczenia. Istniejące reguły dziedziczenia zostały zaktualizowane, więc nie musisz podejmować żadnych działań, aby uwzględnić te zmiany.

Ulepszenia niestandardowych reguł wykrywania dla MSP

Niestandardowe reguły wykrywania pozwalają zdefiniować niestandardowe wskaźniki kompromisu (IoC) w celu zidentyfikowania określonych zachowań w środowisku i uruchomienia automatycznych działań. Reguły te umożliwiają działania takie jak skanowanie antymalware i ryzyka, izolacja hosta i zbieranie pakietów dochodzeniowych.

Dzięki najnowszej wersji partnerzy MSP będą mogli przypisywać niestandardowe reguły wykrywania wielu firmom, usprawniając reagowanie na zagrożenia i zarządzanie nimi w całej swojej bazie klientów.

Ulepszenia serwera zabezpieczeń

Serwer zabezpieczeń służy jako mechanizm buforowania w celu usuwania duplikatów skanowania antywirusowego, optymalizując ten proces pod kątem wdrożeń w chmurze Bitdefender GravityZone.

W najnowszej wersji możesz również skonfigurować ustawienia wygasania hasła Security Server. Okres wygasania jest teraz konfigurowalny, od domyślnych 90 dni do maksymalnie 365 dni.

Ulepszenia sekcji incydentów

Sekcja Incydenty wyświetla wszystkie podejrzane incydenty wykryte na poziomie punktu końcowego (EDR) oraz skonsolidowane incydenty i wykrycia z czujników dla subskrypcji XDR.

Dodaliśmy również możliwość eksportowania siatki incydentów jako pliku CSV, ponieważ była to funkcja, o którą bardzo prosili nasi użytkownicy.

Ulepszenia powiadomień

Control Center powiadamia Cię o stanie bezpieczeństwa Twojego środowiska na podstawie zdarzeń sieciowych. W najnowszej aktualizacji „Nowe powiadomienie o incydencie” zostało przemianowane na „Aktywność incydentu”. Domyślnie, gdy otrzymasz powiadomienie o nowym incydencie, kolejne aktualizacje w ciągu następnej godziny wejdą w okres ograniczania i zostanie wysłana tylko najnowsza aktualizacja. Możesz również skonfigurować otrzymywanie wszystkich aktualizacji incydentów.

Tryb ciemny

Tryb ciemny jest już dostępny w GravityZone Control Center, oferując alternatywny interfejs zgodny z nowoczesnymi preferencjami projektowymi i umożliwiający personalizację.

Co nowego w GravityZone – kluczowe wnioski

Platforma Bitdefender GravityZone wyróżnia się spośród innych, oferując kompleksowe rozwiązanie dla wszystkich potrzeb bezpieczeństwa Twojej organizacji. Wraz z rozwojem cyfrowego krajobrazu Bitdefender pozostaje proaktywny, zapewniając możliwości zapobiegania, ochrony, wykrywania i reagowania, zapewniając stałe bezpieczeństwo organizacji każdej wielkości na całym świecie.

Aby dowiedzieć się więcej o platformie Bitdefender GravityZone, skontaktuj się z nami lub sprawdź tę stronę, aby uzyskać więcej informacji. Możesz również rozpocząć bezpłatny okres próbny, wypełniając formularz tutaj.