Компания Гарда выпустила обновленную версию «Гарда NDR»

Компания выпустила обновленную версию «Гарда NDR», в которую включены новые механизмы обработки сетевых данных и переработанные инструменты работы с инцидентами. Релиз также содержит изменения в структуре интерфейса и подходах к классификации событий, что отражает развитие продукта и адаптацию системы к текущим требованиям корпоративных инфраструктур.

Проактивная защита в «Гарда NDR» стала доступнее благодаря фильтрации по матрице MITRE ATT&CK. Система позволяет искать атаки по тактикам, техникам и подтехникам, а также по IP-адресам и логическим группам. Такой подход обеспечивает более структурированное представление данных для команд центров информационной безопасности (SOC) и поддерживает их в анализе потенциально вредоносной активности, включая случаи горизонтального перемещения. Добавленные фильтры расширяют варианты работы с информацией и позволяют систематизировать процесс изучения событий.

В новую версию добавлен экспорт журналов действий пользователей и системных сообщений в SIEM. Теперь специалисты могут анализировать события и строить полную цепочку атаки в едином интерфейсе, без перехода между системами.

Расширенные возможности ретроспективного поиска по полезной нагрузке (payload) позволяют быстрее находить нужные фрагменты трафика. Поддержка управляющих последовательностей и работа с символами напрямую из сетевых данных расширяют варианты анализа. Доступность выгрузки информации в инструменты вроде Wireshark упрощает дальнейшее изучение событий и уточнение обстоятельств инцидента.

Усилена защита Active Directory-сред с новым инструментом для обнаружения изощренных атак, которые раньше могли оставаться за пределами видимости. Добавленная функция декодирования команд протокола идентификации Kerberos закрывает уязвимость, через которую ранее могли проходить незаметные атаки — от перебора паролей до kerberoasting. Теперь «Гарда NDR» анализирует трафик Kerberos для TCP и UDP, позволяя строить виджеты и фильтры по параметрам протокола.

Точность машинного анализа также выросла: улучшенные ML-модели теперь эффективнее определяют аномалии и снижают количество ложных срабатываний. Дополнительно реализована возможность массового изменения политик и мониторинг сетевых метрик — application и network delay.

Чтобы сэкономить время первичного анализа и ускорить принятие решений по устранению угроз, раздел «Главная» теперь разделен на «Инциденты» и «События». Карточки инцидентов содержат данные о классификаторах MITRE*, количестве уникальных событий и хостов по каждой ИБ-политике. Аналитик получает структурированное представление о масштабах события и направлениях его развития без дополнительной ручной обработки данных.

«Мы уделили внимание тому, чтобы сократить количество ручных операций и расширить инструменты анализа. В версии 4.3 акцент сделан на автоматизации, развитии поисковых механизмов и работе с ранее недоступными форматами данных. Эти изменения отражают наше стремление учитывать потребности ИБ-специалистов и повышать прозрачность происходящего в сетевой инфраструктуре», — отметил Станислав Грибанов, руководитель продукта «Гарда NDR».