Архитектура

Схема компонентов

Компоненты сервера

Компонент

Назначение

Сервер управления

Управление компонентами и объектами BI.ZONE EDR, предоставляет возможность работы в веб-интерфейсе. Отправляет телеметрию и обнаружения с целью дальнейшего хранения или обработки.

Название службы: bzserver

Компонент отправки телеметрии

Дополнительный (опциональный) компонент для снижения нагрузки с Сервера управления. Необходим для отправки телеметрии и обнаружений с целью дальнейшего хранения или обработки.

Название службы: bzrelay

СУБД

Хранение технических данных для работы BI.ZONE EDR: об агентах, задачах, группах, лицензиях и т.д.

Используемые решения: PostgreSQL (рассмотрен в документации) или Platform V Pangolin

S3-хранилище

Хранение логов агентов и результатов выполнения задач.

В качестве решения используется MinIO (рассмотрен в документации), но возможно использование любого другого S3-хранилища, например, уже используемого в вашей инфраструктуре

Сервер очередей

Обмен информацией между компонентами, получение событий (телеметрии, обнаружений) для Хранилища телеметрии, Сервиса обработки обнаружений.

Используемые решения: Apache Kafka + Zookeeper (зависит от версии Apache Kafka)

Обработчик триггеров

Проверка результатов выполнения задач на соответствие определенным условиям и формирование предупреждений.

Название службы: bztrigger-worker

Сервис лицензирования

Управление лицензиями и доступной функциональностью BI.ZONE EDR.

Название службы: bzwarden

Сервис обработки обнаружений

Анализ событий операционной системы и формирование обнаружений для дальнейшей обработки.

Название сервиса: alerts-backend и alertmgr.

Дополнительно необходимы: PostgreSQL (в том числе TimescaleDB, PostGIS), Apache Kafka, RabbitMQ, Redis, Docker

Компонент выявления уязвимостей

Мониторинг событий от агентов и выявление уязвимостей в операционных системах и программном обеспечении на конечных точках. Требует наличия Сервиса обработки обнаружений

Название службы: bzvmdetector

Хранилище телеметрии

Используется для хранения сырых событий операционной системы, поступающих с конечных точек, для дальнейшего анализа или обработки.

Название сервиса: storage

Минимальный набор

Для функционирования BI.ZONE EDR достаточно развернуть следующие решения:

  • Сервер управления.

  • Сервис лицензирования.

  • Сервер очередей, СУБД, S3. При этом вы можете использовать уже развернутые в вашей инфраструктуре компоненты, но необходимо настроить их для работы с Сервером управления.

Порядок развертывания и настройки описан в разделе Развертывание сервера.

Расширение функциональности

Для расширения функциональности BI.ZONE EDR вы можете развернуть следующие компоненты:

  • Обработчик триггеров.

  • Компонент отправки телеметрии.

  • Сервис обработки обнаружений.

  • Компонент выявления уязвимостей.

  • Хранилище телеметрии.

Порядок развертывания и настройки описан в разделе Развертывание сервера.

Агент и модули

Агент BI.ZONE EDR исполняет получаемые с Сервера управления задачи, хранит промежуточные результаты в защищенном виде и отправляет их на Сервер управления. Функциональность агента может быть расширена с помощью модулей:

  • EDR — сбор телеметрии, детектирование и реагирование.

  • File Grabber — получение информации о файловой системе, скачивание и загрузка файлов и директорий с конечного устройства или на него.

  • CMD — запуск консольных команд на конечном устройстве, а также интерактивная оболочка для выполнения команд в реальном времени.

  • Deception — размещение и управление подложными объектами‑приманками на конечной точке.

  • ICS/IoT Security (АСУ ТП) — выявление различных недостатков конфигураций конечных точек технологического сегмента.

  • SIEM-коллектор — сбор событий из различных источников (файл, syslog, БД и т. п.) и передача в централизованное хранилище.

Схемы развертывания

Развертывание серверной части BI.ZONE EDR доступно в следующих конфигурациях:

  • All-in-One — однонодовая конфигурация, все компоненты BI.ZONE EDR в пределах одной ноды. Подходит для небольших и тестовых сценариев использования до 5 000 агентов на конечных точках.

  • Multi-node — многонодовая конфигурация, масштабируемое решение. Имеется возможность кластеризации. Компоненты BI.ZONE EDR, в том числе и дополнительные (PostgreSQL, Apache Kafka, S3-хранилище), распределены по разным нодам. Подходит для различных сценариев использования с любым количеством агентов на конечных точках.

    Примечание: Сервис обработки обнаружений не поддерживает кластеризацию, но дополнительные компоненты (PostgeSQL, RabbitMQ, Redis) можно разнести по разным нодам.