Журнал "Information Security/ Информационная безопасность" #5, 2024

• 31 SOC + EDR www.itsec.ru Представленные в таблице данные предоставлены соответствующими компаниями. Редакция выполнила работу по сбору данных, но не проверяла их соответствие действительности. Название решения BI.ZONE EDR Kaspersky Endpoint Detection and Response Expert MaxPatrol EDR F.A.C.C.T. XDR Реагирование Возможности для реагирования Ручное, автоматизированное, автоматическое Ручное, автоматизированное, автоматическое Ручное и автоматическое Ручное и автоматизированное Сетевая изоляция хоста Да Да Да Да Интерактивная консоль для реагирования на хосте Да В планах Да Да Другие важные возможности реагирования Создание плейбуков из атомарных действий (взаимодействие с файловой системой или выполнение произвольной команды). Возможность передачи параметров в задачу при запуске. API для реагирования. Возможность реагирования сразу на всех хостах или на нескольких Блокировка процесса. Удаление файла. Автоматическое создание правила блокировки запуска файла на всех устройствах при детекте на Sandbox. Помещение файла в карантин. Управление службами. Запуск программы. Запуск IoC-сканирования, Запуск YARA- сканирования Публичный API для реагирования. Блокировка по IP- адресу. Блокировка учетных записей. Завершение процессов. Изоляция узлов. Карантин. Перенаправление DNS-запросов. Удаление файлов. Командная оболочка (shell). Массовое реагирование Удаленное подключение через shell из консоли решения. Готовые скрипты в консоли решения для сбора криминалистической информации Расследование и восстановление Сбор данных для расследования Да Да Да Да Ретроспективный анализ телеметрии Да Да Да Да Устранение последствий инцидента Да Да Да Да Другие важные возможности расследования и восстановления Создание плейбуков из атомарных действий (взаимодействие с файловой системой или выполнение произвольной команды). Threat archeology – автоматизированное выявление прошлых атак, неактивных в настоящий момент Рекомендации по реагированию, встроенные в интерфейс программы. Интеграция с virustotal. Запрос информации из TI Portal. Интерактивный граф развития атаки. Интеграция с KES Windows Возможность собрать дополнительный срез информации в момент обнаружения атаки, как способ автоматического реагирования на обнаружение. Поиск следов недетектируемых угроз, анализируя данные об активности на хостах по всей организации, включая телеметрию, метаданные, логи, NetFlow Приобретение и сопровождение SLA техподдержки 24/7 8/5, 24/7 (в зависимости от плана) 24/7 24/7 Формат техподдержки Телефон, email, онлайн Онлайн, E-mail, телефон (в зависи- мости от плана) Телефон, E-mai, онлайн, выделенный менеджер поддержки Телефон, email, онлайн Модель тарификации Подписная модель Приобретение или подписная модель Приобретение или подписная модель Подписная модель Пробный период или пилот Пилот до 3 месяцев Да, обсуждается индивидуально Да, обсуждается индивидуально 1 месяц Сайт с подробностями решения https://bi.zone/cata- log/products/edr/ https://www.kasper- sky.ru/enterprise-secu- rity/endpoint-detection- response-edr https://www.ptsecuri- ty.com/ru- ru/products/edr/ https://www.facct.ru/pr oducts/managed-xdr/