Обнаружение и реагирование на угрозы КС
Bitdefender обновляет GravityZone что изменилось - ICORE
_

Bitdefender обновляет GravityZone: что изменилось

В ноябре 2025 года Bitdefender выпустил новые функции в платформе GravityZone — унифицированной системе кибербезопасности, которая обеспечивает предотвращение угроз, защиту, обнаружение и реагирование для организаций любого масштаба. Эти обновления, в духе многослойной стратегии безопасности, призваны облегчить работу аналитиков безопасности, администраторов и конечных пользователей.

Что нового для аналитиков безопасности

Аналитики безопасности должны выявлять признаки сложных атак — то, что “не видно” на первый взгляд. Новые функции дают им расширенные инструменты для поиска угроз, расследований и реагирования.

Security Data Lake

  • Представлен Security Data Lake — решение, объединяющее возможности SIEM и хранилища данных (“data lake”) в едином облачном сервисе.
  • Это отдельная консоль, но её можно открыть прямо из GravityZone, и для каждого клиента выделяется свой кластер, чтобы обеспечить изоляцию данных.
  • Security Data Lake может собирать и нормализовать события из сторонних систем: фаерволов, облаков, конечных точек и кастомных источников.
  • В комплекте есть готовые “пакеты” (packs) для обнаружения событий, правил аномалий и дашбордов, чтобы сразу начать использовать.
  • Можно настраивать обработку логов через Streams и Pipelines, чтобы создавать собственные парсеры и обогащать данные из нестандартных источников.
  • Есть движок корреляции (correlation engine), который связывает отдельные события в “полные истории угроз”, а также продвинутый поиск с параметрами для сложных и совместно используемых запросов.
  • При интеграции с сервисом MDR (Managed Detection and Response), аналитики SOC получают доступ в Data Lake к телеметрии третьих сторон — уже поддерживаются фаерволы Palo Alto, Check Point, Cisco ASA, Fortinet, Juniper, pfSense и SonicWall.
  • Это позволяет SOC точно выполнять запросы, коррелировать активность по всей инфраструктуре и обнаруживать угрозы раньше, снижая “шум” за счёт приоритезации на основе риска.

Действия блокировки для EDR-сенсора

  • Теперь у EDR Sensor есть “response actions” на основе корелляции событий: движок корреляции выявляет связи между событиями и объединяет их в инциденты.
  • Пример: три события — дамп AD через ntdsutil, архивирование файлов и отправка этих архивов по SMB — могут быть распознаны как единый инцидент и заблокированы.
  • В настройках политики в GravityZone (в разделе “Incident Sensor”) можно выбрать, что делать: предотвратить запуск процесса или принудительно завершить процесс на Windows-устройствах.
  • Все такие действия видны в сетке инцидентов (“Incidents grid”), на вкладке “Incident Response” и локально на агентах BEST.

Удаление файлов через Office 365 Sensor

  • Office 365 Sensor (интеграция с Microsoft 365) теперь поддерживает действие “Delete File” (Удалить файл).
  • Это значит, что из GravityZone можно удалять подозрительные или вредоносные файлы прямо из OneDrive и SharePoint Online.
  • Для активации этой опции нужно изменить разрешения приложения Microsoft Entra (ранее — Azure AD), дав ему право Files.ReadWrite.ALL.

Улучшения AWS Sensor

  • AWS Sensor теперь поддерживает AWS Control Tower: интеграция с аккаунтами Management и Log Archive.
  • Теперь можно отключать и удалять ключи доступа (access keys) для скомпрометированных IAM-аккаунтов только из Management Account, через консоль GravityZone.

Улучшения Security Telemetry

  • Телеметрия безопасности (детализированные события: активность процессов, операции с файлами, изменения в реестре, сетевые соединения) теперь может собирать DNS-запросы.
  • Эта дополнительная телеметрия поддерживается на Windows и macOS, и её можно отправлять в сторонние системы SIEM или MDR.
  • Собранные данные можно коррелировать с другими событиями, что ускоряет реагирование на инциденты и помогает соответствовать стандартам вроде NIST или ISO 27001.

Новые лицензии для MDR

  • Появились две новые годовые лицензии MDR:
    • Bitdefender MXDR — включает все функции MDR + сенсоры XDR: Productivity, Identity и Network.
    • Bitdefender MXDR Plus — включает функции MDR Plus + те же XDR-сенсоры.
  • Можно добавить “MDR Cybersecurity Breach Warranty” как дополнение к этим лицензиям.
  • При удалении лицензии MXDR или MXDR Plus, связанная гарантия (если она была) будет автоматически удалена.

Улучшения API

  • Bitdefender Control Center API (протокол JSON-RPC 2.0) получил обновления: теперь есть дополнительные параметры preExecution и postExecution для метода setPolicyModulesState.
  • В возвращаемом через getPolicyDetails объекте contentControl теперь включена информация о конфигурации Custom Pages (пользовательские страницы).
  • Появилась новая поддержка для действий удаления файлов Office 365 через API:
    • Метод getResponseActionStatus может возвращать тип 10 — удалить файл Office 365.
    • Метод createResponseAction теперь принимает actionType = 10 для удаления файла Office 365.

Что нового для администраторов

Администраторам, которые постоянно решают множество задач, особенно пригодятся улучшения в управлении политиками и сообщениями.

Пользовательские страницы (Custom Pages) для заблокированных / предупреждающих сообщений

  • В Web Content Filtering (фильтрация веб-контента) можно настроить собственную страницу блокировки, которая будет показываться пользователю, если доступ к сайту запрещён.
  • Можно добавить логотип, изменить текст сообщения блокировки в браузере и текст предупреждения в агенте (BEST).
  • Все ссылки на этой странице блокировки не кликабельны для пользователя.
  • Эти кастомные страницы настраиваются в разделе “WAC Custom Pages” в конфигурационных политиках.
  • Затем эти страницы можно назначить политикам через раздел “Network Protection → Custom Page”.
  • Все сделанные изменения можно отслеживать: они появятся в журнале активности пользователя как “Web Access Content Control Pages” в User Activity.

Улучшения списка блокировок (Blocklist)

  • Список блокировок (Blocklist) позволяет создавать правила, чтобы запрещать запуск файлов, приложений или сетевых соединений.
  • Теперь для работы Blocklist не обязательно включать весь модуль файрвола: если используется только Blocklist, файрвол работает в “лёгком режиме”, без изменения поведения полной версии файрвола.
  • Для всех конечных точек, управляемых через MDR, Blocklist автоматически включён как обязательный сервис, даже если политика его не активирует.
  • При этом опции “DLL” и “Script” (в списке блокировок) остаются настраиваемыми для локальных администраторов.

Итог

Платформа GravityZone от Bitdefender продолжает развиваться и укреплять свою позицию как объединённое решение для всех задач безопасности: предотвращения атак, обнаружения, реагирования. Новые функции улучшают аналитические возможности (Data Lake), повышают эффективность реагирования (EDR response, Office 365), расширяют интеграции (Splunk) и дают администраторам больше контроля и гибкости.

Источник:
https://www.bitdefender.com/en-us/blog/businessinsights/whats-new-gravityzone-november-2025

Автор:
Гжегож Нокон
Технический инженер по маркетингу в компании Bitdefender