Источники данных

Описание раздела

Этот раздел используется для работы с источниками данных, их версиями и артефактами.

В этом разделе используются сокращения:

  • Источники — источники данных.

  • Версии — версии источника данных.

  • Артефакты — файлы источников данных, загружаемых в веб-интерфейсе BI.ZONE EDR, которые могут использоваться впоследствии при загрузке и обновлении файлов для задач различного типа.

Доступные действия

Раздел Источники данных позволяет:

  • Создавать, редактировать и удалять источники.

  • Создавать и удалять версии.

  • Редактировать описание версий.

  • Загружать, удалять и скачивать артефакты.

Особенности

Удаление источников данных и их версий

  • Нельзя удалить источник данных, если хотя бы одна его версия используется в задачах.

  • Нельзя удалить версию источника данных, если она используется при выполнении задачи.

Версии и артефакты

  • У каждого источника данных может быть несколько версий с различным содержанием. В веб-интерфейсе BI.ZONE EDR можно использовать любую из созданных версий.

  • Одна версия источника данных может содержать несколько артефактов для использования в указанных операционных системах определенной разрядности.

  • Для артефакта можно указать диапазон версий модулей, для которых он подходит.

  • В рамках одной версии источника данных для нескольких артефактов нельзя указать одни и те же версии модуля (не должно быть пересечений версий).

  • При создании очередной версии в нее автоматически включаются артефакты из предыдущей версии. Их можно оставить или удалить.

Описание источников данных

Правила сбора телеметрии

  • EDR Rules (Windows/Linux/macOS) — базовые правила сбора телеметрии. Поставляются в зашифрованном виде компанией BI.ZONE, пользователь не может их изменить. Остальные типы источников данных опциональны.

  • EDR Extra Rules (Windows/Linux/macOS) — дополнительные (пользовательские) правила сбора телеметрии. Поставляются с модулем, пользователь может их изменять по мере необходимости.

  • EDR Telemetry Excludes (Windows/Linux/macOS) — дополнительные (пользовательские) исключения правил сбора телеметрии. Поставляются с модулем, пользователь может добавлять исключения для событий из базового/дополнительного источников.

Правила обнаружения и реагирования

  • EDR Detects (Windows/Linux/macOS) — базовые правила обнаружения и реагирования (алерты). Поставляются в зашифрованном виде компанией BI.ZONE, пользователь не может их изменить.

  • EDR Extra Detects (Windows/Linux/macOS) — дополнительные (пользовательские) правила обнаружения и реагирования (алерты). Поставляются с модулем, пользователь может их изменять по мере необходимости;

  • EDR Detects Excludes (Windows/Linux/macOS) — дополнительные (пользовательские) исключения правил обнаружения и реагирования (алерты). Поставляются с модулем, пользователь может добавлять исключения для событий из базового/дополнительного источников.

Обратите внимание — источник данных типа EDR Detects Excludes (Windows/Linux/macOS):

  • Создается на этапе развертывания BI.ZONE EDR.

  • В веб-интерфейсе имеет название [Windows/Linux/macOS] Alerts Excludes и автора (пользователя) system.

  • Имеет предсозданную первичную версию с пустым файлом формата CSQL (для Windows) или YAML (для Linux и macOS).

  • Может быть отредактирован только в разделе Правила выявления угроз.

Но также этот источник данных может быть создан вручную, но под другим названием и пользователем.

Индикаторы компрометации

  • IOC Rules — базовые индикаторы компрометации.

  • Extra IOC Rules — пользовательские индикаторы компрометации.

Другие правила и конфигурации

  • Deception Config — параметры создаваемых ловушек.

  • SIEM Collector Config — параметры сбора и передачи событий с различных источников.

  • YaraRules — дополнительный набор правил для использования модулем EDR при Yara-сканировании.

  • ZTNA environment — настройки клиента ZTNA.

  • ZTNA alert configuration — настройки политик безопасности.

  • ics_iot config — конфигурация АСУ ТП, настройка отправки событий для АСУ ТП.

Использование источников данных

Созданный источник данных можно использовать, выбрав сам источник и его версию в интерфейсе при создании задач.

В рамках выбранной версии для выполнения задачи будет автоматически использован артефакт, соответствующий параметрам окружения, в котором данный файл будет использоваться. Если подходящего содержимого не найдется, выполнение задачи не будет завершено по причине возникновения ошибки.

Опция Последняя означает, что новая версия после создания будет каждый раз автоматически загружаться на агента. Если для артефакта были указаны ограничения по версиям модулей, то новая версия источника данных будет автоматически загружена только в случае соответствия версии модуля, установленного на агенте, указанному ограничению версий.