Модуль Deception

В разделе описан модуль Deception, его события и конфигурация приманок. На текущий момент модуль поддерживает ОС Windows (кроме Windows 7 и Windows 10 x86) и ОС Linux. Реализация для macOS планируется позднее.

Назначение модуля

Deception — модуль BI.ZONE EDR, управляющий объектами-приманками на конечных точках и контроллере домена.

Функции модуля:

Создание приманок.
Контроль целостности приманок.
Обновление конфигурации приманок.
Удаление приманок.
Логирование собственного состояния и его автоматическое восстановление при возникновении сбоев.

Основная задача модуля — выявление атакующего в инфраструктуре по попыткам взаимодействия с объектами-приманками. В рамках легитимной активности маловероятны взаимодействия с объектами-приманками. При получении доступа к инфраструктуре атакующий с высокой вероятностью попытается взаимодействовать с объектом-приманкой, что позволит обнаружить его следы.

Особенности модуля

На одном агенте должна быть только одна задача Deception, запуск нескольких задач недопустим.
Функции модуля задаются через конфигурационный файл, который передается в параметрах задачи для модуля.

Конфигурация и события

Описание API

Конфигурационный файл