Поделиться
Обновление Bi.Zone Secure DNS: новая статистика, переработанная фильтрация и расширенный API
Bi.Zone обновила решение Bi.Zone Secure DNS. Теперь сервис быстрее выявляет аномалии в трафике, точнее обнаруживает DNS-туннели и нелегитимные домены, а также проще интегрируется с внутренними системами (например, системами кибербезопасности в инфраструктуре) через протоколы Syslog и REST-like API. Новые возможности упрощают работу команд по кибербезопасности, сокращают время на анализ инцидентов и снижают риск пропуска атаки. Об этом CNews сообщили представители Bi.Zone.
В обновлении Bi.Zone Secure DNS разработчик представил усовершенствованную панель мониторинга. В ней специалисты по кибербезопасности и сетевые инженеры могут настраивать отображение данных под конкретные задачи, а также быстрее находить аномалии в трафике. Улучшенный интерфейс панели создан на основе отзывов пользователей и позволяет выводить ключевые метрики в нужной конфигурации.
В отчетах теперь доступны: количество DGA-доменов и DNS-туннелей; объем данных, переданных через DNS-туннели; количество запросов, отфильтрованных политиками безопасности; среднее время обработки DNS-запросов и ответов; списки наиболее часто разрешаемых доменов и IP-адресов; коды ответов и расширенные ошибки протокола DNS.
Новые функции помогают быстрее выявлять аномалии и нелегитимные метрики в протоколе DNS, детальнее анализировать трафик и еще оперативнее реагировать на потенциальные угрозы.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности, Bi.Zone: «Мы стремились не просто добавить функции, а сделать инструменты кибербезопасности наиболее практичными — удобными для интеграции и применимыми в ежедневной работе. Такой подход позволяет быстрее извлекать ценность из данных протокола DNS».
Помимо этого, обновление затронуло механизм обнаружения DNS-туннелей — теперь система в 1,5 раза точнее фиксирует скрытую передачу данных и снижает количество ложных срабатываний. Такого результата удалось добиться благодаря усовершенствованию механизма анализа IDLE-активности зараженных устройств, при которой вредоносное ПО продолжает поддерживать соединение, передавая в минуту лишь несколько байтов данных, зашитых в сетевой пакет в виде установленных флагов транзакции. Обновленные алгоритмы позволяют эффективнее выявлять нелегитимный трафик, в том числе тот, который используют злоумышленники для связи с управляющими серверами через протоколы Do53, DoH, DoT, DoQ и EDNS0.
Также в Bi.Zone Secure DNS улучшена ИИ-модель для обнаружения DGA-доменов. Обновление позволяет точнее отличать легитимные автоматически сгенерированные домены (например, принадлежащие Microsoft или Google и используемые для сбора телеметрии) от нелегитимных. Это снижает количество ложных срабатываний и уменьшает риск пропуска нелегитимной активности, замаскированной под системный трафик. Новая версия результативна в инфраструктурах с большим объемом DNS-запросов и ответов, где высокая точность критична для стабильной работы систем безопасности.
Кроме того, команда Bi.Zone Secure DNS реализовала интеграцию и автоматизацию в REST-like API. Теперь через API можно настраивать политики фильтрации, управлять параметрами системы и получать статистику. Это упрощает работу при интеграции с внешними дашбордами или SIEM, где заказчику удобнее получать аналитику и управлять настройками, не заходя в отдельный пользовательский интерфейс.
Короткая ссылка
