Linux под защитой: F6 представила EDR 3.0 с поддержкой отечественных ОС

[Shaman_RSHU]

Подскажите, какова эффективность Вашего EDR-решения, когда на рабочей станции у пользователя sudo права.

[EditorF6]

Спасибо за вопрос! Наличие sudo у пользователя не влияет на работу EDR-агента и логику обнаружения. Мы детектируем и коррелируем поведение независимо от UID, опираясь на ядровую/системную телеметрию (eBPF/LSM, процесс/фс/сеть, собственный драйвер). Видим и помечаем все подозрительные действия, например: изменение systemd/cron, установку пакетов/модулей ядра, правки конфигов, попытки ptrace/LD_PRELOAD и т.п.