История версий

Версия 3.7.4

Платформа Радар продолжает переход на более удобный и современный интерфейс и оптимизирует процесс обработки событий.

Основные изменения:

• Инциденты;
• Коррелятор;
• Поля события (маппинг);
• Пересылка событий;
• Источники.

Инциденты

Доработаны возможности модуля "Инциденты", которые теперь доступны в новом интерфейсе:

• Инциденты – просмотр, анализ и управление инцидентами информационной безопасности;
• Типы инцидентов – просмотр и актуализация сведений об угрозах, на основе которых создаются инциденты;
• Группы инцидентов – работа с группами инцидентов и массовые операции над инцидентами через группы;
• Происшествия на отправку – отправка происшествий, выявленных в критической информационной инфраструктуре (КИИ) Российской Федерации, в национальный координационный центр по компьютерным инцидентам;
• Дополнительные поля – управление дополнительными полями инцидентов.

Пример карточки инцидента в новом интерфейсе модуля приведен на рисунке ниже:

Коррелятор

Доработаны возможности модуля "Коррелятор":

• реализована возможность создавать фильтры потока событий при редактировании правила корреляции;
• добавлена возможность не учитывать регистр при выполнении правила корреляции. Параметр настраивается в редакторе правил корреляции;
• добавлена возможность указывать ссылки на техники, используемые киберпреступниками, которые содержаться в базе знаний компании "Mitre";
• добавлена возможность ручного перезапуска правила корреляции.

Все возможности модуля теперь доступны в новом интерфейсе (см. раздел Коррелятор. Общие данные):

Маппинг

Реализована возможность настройки маппинга для обработки событий от источников. Пользователям доступны следующие функции:

• создание маппинга с собственными настройками;
• просмотр информации о созданных маппингах;
• добавление маппинга в следующие шаблоны событий: "Ошибка", "Разобрано", "Нормализовано";
• присвоение маппингу один из следующих типов: keyword, date;
• маппинги настраиваются в новом разделе Источники → Поля события.

Раздел Поля события реализован в новом интерфейсе (см. раздел Поля события).

Пересылка событий

Для режима мультиарендности реализована возможность пересылать события с одного экземпляра платформы на другой. За пересылку отвечает фильтр потока событий, который настраивается в новом разделе Коррелятор → Пересылка событий (см раздел Пересылка событий).

Источники

Добавлены новые источники:

• Mantis Bug Tracker;
• Papercut-NG ;
• OpenVPN;
• HAProxy;
• Zeek (IDS Bro-ids);
• Wireguard EdgeSecurity;
• ESET Security Management Center;
• VMware ESXi;
• Proxmox;
• Gitlab;
• Simon Kelley DNS;
• PaloAlto NGFW.

Обновлены источники:

• UFW и firewalld;
• Checkpoint Firewall (opsec).

Разное

• Конструктор виджетов, Отчеты – добавлена возможность использовать собственные стили шрифтов для отрисовки данных виджетов;
• Конструктор виджетов – для визуализаций "Временной ряд", "Круговая диаграмма", "Гистограмма", "Таблица" появилась возможность выбрать стратегию обработки некорректных значений: "Использовать значения по умолчанию" или "Игнорировать";
• Просмотр событий – добавлена возможность указывать ограничение поиска агрегации, по умолчанию параметр равен 10;
• Конструктор виджетов – добавлена возможность формировать список происшествий за выбранный период;
• Виджет Таблица – добавлена возможность группировать значения по выбранному столбцу;
• Рабочие столы и Отчеты – добавлена возможность импорта/экспорта рабочих столов и отчетов;
• Рабочие столы, Отчеты – реализована возможность перехода к табличному представлению информации из выбранного виджета;
• Рабочие столы – добавлена возможность дублировать рабочие столы;
• Сканер уязвимостей – добавлена возможность загрузки результатов сканирования Nmap отчета в формате XML.

Версия 3.7.2

Основные изменения:

• обработчик событий - значительно улучшена производительность по сравнению с предыдущими версиями;
• просмотрщик событий - ряд новых функций для просмотра и анализа событий;
• рабочие столы и отчеты - новые инструменты для администратора;
• новый дизайн - улучшен интерфейс для просмотра событий, рабочих столов и отчетов.

Обработчик событий

Внедрен новый способ парсинга и нормализации событий, который обеспечивает следующие улучшения:

• упрощены этапы обработки событий:
  • парсинг и нормализация объединены в один этап;
  • добавлена возможность указывать в нормализации пользовательские значения;
  • добавлено автоматическое удаление пустых полей.
• добавлена возможность многократного использования парсеров;
• увеличена скорость подключения новых источников.

Просмотрщик событий

Доработаны функции модуля "Просмотрщик событий":

• в качестве параметра по которым можно выполнить фильтрацию событий теперь можно использовать агрегации;
• появилась возможность создавать предварительно настроенные шаблоны и конфигурации для упрощения процесса мониторинга;
• расширен список инструментов для анализа событий: "Таблица событий", "График активности", "Визуализация данных", "Аналитика и оповещения".

Возможности модуля реализованы в новом интерфейсе (см. раздел События).

Рабочие столы

Доработаны возможности модуля "Рабочие столы", в котором выполняется управление интерактивными информационными панелями. Модуль предоставляет следующие возможности:

• просмотр списка рабочих столов;
• создание нового рабочего стола, в том числе и на основе существующего;
• визуализация данных возможна с помощью следующих виджетов:
  • временной ряд;
  • гистограмма;
  • круговая диаграмма;
  • метрика;
  • текст;
  • изображение;
  • таблица.
• для каждого типа виджета доступен конструктор, который позволяет настроить виджет под текущие задачи;
• создание отчета на основе данных, сформированных для рабочего стола;
• настройка прав пользователей к возможностям модуля.

Возможности модуля реализованы в новом интерфейсе (см. раздел Рабочие столы).

Отчеты

Доработаны функции модуля "Отчеты":

• появилась возможность просмотра архива отчетов;
• визуализация данных возможна с помощью следующих виджетов:
  • временной ряд;
  • гистограмма;
  • круговая диаграмма;
  • метрика;
  • текст;
  • изображение;
  • таблица.
• для каждого типа виджета доступен конструктор, который позволяет настроить виджет под текущие задачи;
• добавлена возможность экспортировать отчет в PDF файл.

Возможности модуля реализованы в новом интерфейсе (см. раздел Отчеты).

Источники

Добавлены новые источники:

• FreeBSD;
• Alt Linux;
• Cisco SG200 Switch;
• Microsoft Windows HyperV;
• Ubiquiti Switch;
• Microsoft Windows RDS-GW;
• HP Switch;
• Cisco Aironet 4404 Wireless LAN Controller;
• Microsoft Windows Defender;
• Microsoft Windows Firewall.

Обновлены источники:

• VipNet Coordinator.

Разное

• добавлен новый сервис LogProxy для приема событий от лог-коллекторов:
  • используется только один порт для приема сообщений от всех лог-коллекторов;
  • добавлено сжатие данных при передаче от лог-коллекторов.
• удалена база знаний, содержимое распределено по соответствующим разделам;
• удалены сервисы:
  • pangeoradar-rmca.service;
  • pangeoradar-rmca-sidekiq.service;
  • pangeoradar-kb.service;
  • pangeoradar-kb-sidekiq.service.

Версия 3.7.0

Основные изменения:

• заменена поисковая система с ElasticSearch на OpenSearch;
• изменены наименования хранимых индексов OpenSearch: добавлен префикс pgr;
• добавлена синхронизация контента между тенантами;
• добавлен экспорт/импорт табличных списков, включая структуру списка;
• изменена процедура установки и обновления платформы;
• переименованы параметры конфигурации.

Установка и обновление платформы

В процедуру установки и обновления платформы внесены следующие изменения:

• для процедуры используется единый скрипт install.sh;
• архив pgr-<ВЕРСИЯ>.tar.gz более не участвует в установке;
• автоматическая миграция индексов ElasticSearch в формат OpenSearch;
• улучшено обновление платформы, установленной на первом узле с отдельно установленными лог-коллекторами.

Версия 3.6.7

Улучшена стабильность Платфомы Радар.

Добавлена проверка тестового набора данных для правил корреляции.

Версия 3.6.6

Улучшена стабильность Платфомы Радар

• Улучшен поиск в табличном списке;
• Улучшена стабильность процессов установки/обновления платформы с более ранних версий;
• Улучшена стабильность Pattern Matcher правил корреляции;
• Улучшена стабильность коррелятора;
• Улучшена стабильность Flow-Balancer'а;
• Улучшена стабильность Beaver'а;
• Улучшена стабильность Log-Collector'а.

Оптимизированы правила корреляции

• Добавлена функция compare;
• Изменено сравнение с пустой строкой.

Скорректированы интерфейсы

• Интерфейс управления правилами корреляции;
• Интерфейс управления правилами корреляции;
• Интерфейс карточки инцидента;
• Интерфейс шаблонов Алерта;
• Интерфейс связи компонентов карты кластера;
• Интерфейс добавлено структурированное представление события в просмотре инцидента;
• Интерфейс проверки прав доступа к компонентам системы.

Другие изменения

• Обновлен функционал обработки отчетов RedCheck;
• Актуализирван протокол взаимодействия с внешними центрами реагирования на компьютерные инциденты;
• Добавлена возможность вывода в шаблон инцидента информации из агрегации;
• Добавлена информация о количестве ошибок в правиле корреляции в интерфейс;
• Изменена ротация логов коррелятора.

Добавлены новые источники

• Astra Linux
• KVM
• FreeRadius

Обновлены источники

• Microsoft Windows
• Linux Auditd
• Nginx
• Huawei Switch
• Sysmon Windows
• Oracle MySQL

Обновлены парсеры и нормализаторы

• Suricata
• Nginx
• Checkpoint Firewall Logexporter
• Windows Taskscheduler
• Syslog

Версия 3.6.5

Документация

В Интерфейс Платформы Радар мы добавили раздел с документацией. Работая с Платформой Радар, вы в любое время можете обратиться к документации. Доступ к документации будет всегда под рукой.

Сбор событий

В процесс сбора событий из файлов добавлена поддержка многострочных событий. Добавлены параметры, которые позволяют читать многострочные параметры из файлов формата JSON И XNL.

Обновление с предыдущих версий

Теперь можно проводить обновление на новую версию без обновления до промежуточных версий.

Правила корреляции

В правила корреляции добавлены шаблоны алертов и групперов. Шаблоны могут быть добавлены, изменены, удалены. Добавление шаблонов упрощает создание правил корреляции.

Максимальное количество срабатываний правил корреляции в секунду задается глобальном параметре конфигурации: Кластер - Управление конфигурацией - Logmule2 - Максимальное количество сработок.

Версия 3.6.0

Новый коррелятор

В версии 3.6.0 встречайте Новый коррелятор.

Теперь разрабатывать правила корреляции потока входящих событий стало еще проще благодаря использованию конструктора правил корреляции. Конструктор позволяет создавать инциденты по результатам работы правил корреляции, определять правила группировки входящих событий, определять действия с табличными списками, конструировать условия корреляции. Также доступна разработка правил корреляции с применением скриптового языка Lua.

И вместе с этим изменился интерфейс раздела, посвященного корреляции. Все подразделы, относящиеся к корреляции, имеют единообразный интерфейс и одинаковые элементы управления.

Фильтры потока событий

Мы добавили отдельный подраздел, позволяющий управлять фильтрами потока событий. Фильтры позволяют отобрать только необходимые для корреляции события, что сокращает время обработки потока входящих событий и снижает нагрузку на сам коррелятор.

Макросы

Теперь при разработке правил корреляции можно добавлять макросы. Это небольшие универсальные куски кода или функции, которые могут применяться в различных правилах корреляции. Применение макросов позволяет сократить объем правил корреляции и упростить их написание.

Правила

Теперь к правилам корреляции можно добавлять фильтры потока событий и макросы, как написано выше. Для каждого правила доступна обширная статистика его использования и гибкая настройка правил корреляции.

Табличные списки

Структура табличных списков может быть настроена очень гибко. Сами табличные списки могут наполняться при корреляции событий на основе разработанных правил корреляции.

Версия 3.5.4

Улучшения в функциональности и стабильности Платформы Радар

Расширены функциональные возможности:

• Минимальный уровень безопасности транспортного уровня для всех компонентов установлен TLS 1.2;
• Улучшена совместимость мультиарендности;
• Появилась поддержка работоспособности версии 3.3.2 в интерфейсе мультиарендности версии 3.5.4;
• Появилась возможность для каждого добавляемого узла в кластере в режиме мультиарендности указать номер и версию узла;
• Диагностика обеспечивает проверку состояния всех сервисов и компонентов Платформы Радар.

Добавлена поддержка источников событий

• Dell IDRAC
• ISC Bind DNS
• Linux NFS Server
• Microsoft DNS
• Microsoft Windows Event Forwarding
• Solar Dozor

Версия 3.5.0

• Изменения в Лицензировании -- привязка лицензии к системному окружению, определение параметров лицензирования, лицензирование модулей Платформы Радар;
• Новый интегратор с внешними центрами реагирования на компьютерные инциденты;
• Добавлена возможность экспорта и импорта источников событий, правил разбора, нормализации и корреляции;
• Добавлена поддержка источников событий:
  • Apache HTTP server
  • Apache Tomcat
  • AppLocker
  • Astra Linux
  • CentOS Linux
  • Checkpoint NGFW
  • Cisco snort
  • Citrix ADC (Netscaler)
  • Confident Dallaslock
  • D-link xStack
  • Debian Linux
  • Fedora Linux
  • FireEye HX
  • FortiSandbox
  • Huawei Switch
  • IBM AIX
  • IBM Postfix
  • Kaspersky Anti Targeted Attack
  • Kaspersky MariaDB
  • Kaspersky Secure Mail Gateway
  • Kaspersky Web Traffic Security
  • Linux Auditd
  • McAfee Web Gateway
  • Microsoft Exchange Server. OWA
  • Microsoft Exchange Server. SMTP
  • Microsoft Exchange Server. Message Tracking
  • Microsoft Exchange Server. Audit
  • Microsoft SQL Server
  • nGate Firewall
  • Nginx
  • Oracle Database
  • Oracle MySQL
  • Oracle NetListener
  • pfSense Firewall
  • PostgreSQL
  • Red Hat Enterprise Linux (RHEL)
  • Solar WebProxy
  • Staffcop Enterprise
  • SUSE Linux Enterprise
  • Ubuntu Linux
  • Usergate UTM Firewall
  • vGate
  • СКДПУ НТ
• Повышена стабильность работы лог-коллектора;
• Исправление ошибок, улучшение функциональности и стабильности Платформы Радар.

Версия 3.3.2

• Сквозной идентификатор инцидент -- всем инцидентам присваивается уникальный идентификатор;
• Планировщик задач -- планирование задач CRON или задач интеграции с KSC;
• Лог-коллектор -- добавлены новые источники лог-коллектора;
• Полноценный установщик логколлектора для операционных систем на базе Windows;
• Поддержка работоспособности логколлектора на операционной системе Windows Server 2022;
• Лицензирование -- изменена механика детектирования превышения лимита лицензии по EPS;
• Использование Beaver -- появилась предварительная возможность использовать Beaver для обработки пайплайна в управлении конфигураций;
• Улучшение работы с управлением конфигурацией:
  • Настройки отдельных узлов -- переопределение настроек модулей системы для конкретных узлов;
  • Параметры из консоли -- управление конфигурацией Платформы Радар из консоли;
• Добавлен вывод времени фиксации инцидента и его переоткрытия;
• Убраны ограничения по именованию правил корреляции;
• Множественные улучшения функциональности и стабильности Платформы Радар.

Версия 3.3.1

• Управление конфигурацией кластера -- управление конфигурационными параметрами Платформы Радар в целом и параметрами каждого отдельного модуля Платформы Радар;
• Дополнительные поля -- дополнительные поля, создаваемые вручную или правилами корреляции, для отображения в карточке инцидента;
• Изменение количества событий при просмотре событий -- выделенный раздел просмотра событий с управлением количеством просматриваемых событий;
• Группировка инцидентов -- объединение инцидентов в группы для совершения массовых действия;
• Ретроспективная корреляция -- проверка гипотез на основе исторических данных, хранимых в системе;
• Доработка системы уведомлений администратора о прекращении работы службы -- отправка администратору уведомлений о прекращении работы службы Платформы Радар;
• Изменение протокола взаимодействия Logmule с RMCA на Cruddy;
• Привязка событий к инцидентам -- привязка дополнительных событий вручную для анализа причины инцидента;
• Поддержка режима мультиарендности для раздела мониторинга;
• Переоткрытие инцидента -- настраиваемый параметр переоткрытия инцидента при его повторении;
• Оповещения по задержкам -- настройка оповещений при эскалации инцидентов.

Версия 3.1.0

• Рабочий стол -- сводная информация по работе Платформы Радар;
• Пользовательские настройки -- настройки интерфейса Платформы Радар и ее поведения для авторизовавшегося пользователя;
• Инциденты -- управление событиями информационной безопасности;
• Активы -- управление активами организации;
• Коррелятор -- управления правилами корреляции, самим коррелятором и диагностикой работы правил корреляции;
• Оценка соответствия ПО -- настройка и просмотр результатов проверки соответствия группы активов политикам контроля списков установленного программного обеспечения;
• Сообщения -- просмотр сообщений, отправленных внутри Платформы Радар;
• Отчеты -- просмотр отчетов по работе с Платформой Радар;
• Управление пользователями -- раздел администрирования по управлению пользователями и ролями Платформы Радар;
• Управление кластером -- раздел администрирования по управлению составом и настройками модулей Платформы Радар;
• Управление источниками событий -- раздел администрирования управлению источниками событий информационной безопасности;
• Мониторинг Платформы Радар -- раздел администрирования по просмотру статистики работы Платформы Радар;
• Управление репутационными списками -- раздел администрирования по управлению репутационными списками;
• Управление табличными списками -- раздел администрирования по настройке обогащения событий информационной безопасности;
• Настройка контроля установленного ПО -- раздел администрирования по настройке правил контроля установленного ПО;
• Настройка общих параметров Платформы Радар.