История версий

Версия 3.7.0

Основные изменения:

• заменена поисковая система с ElasticSearch на OpenSearch;
• изменены наименования хранимых индексов OpenSearch: добавлен префикс pgr;
• добавлена синхронизация контента между тенантами;
• добавлен экспорт/импорт табличных списков, включая структуру списка;
• изменена процедура установки и обновления платформы;
• переименованы параметры конфигурации.

Установка и обновление платформы

В процедуру установки и обновления платформы внесены следующие изменения:

• для процедуры используется единый скрипт install.sh;
• архив pgr-<ВЕРСИЯ>.tar.gz более не участвует в установке;
• автоматическая миграция индексов ElasticSearch в формат OpenSearch;
• улучшено обновление платформы, установленной на первом узле с отдельно установленными лог-коллекторами.

Версия 3.6.7

Улучшена стабильность Платфомы Радар.

Добавлена проверка тестового набора данных для правил корреляции.

Версия 3.6.6

Улучшена стабильность Платфомы Радар

• Улучшен поиск в табличном списке;
• Улучшена стабильность процессов установки/обновления платформы с более ранних версий;
• Улучшена стабильность Pattern Matcher правил корреляции;
• Улучшена стабильность коррелятора;
• Улучшена стабильность Flow-Balancer'а;
• Улучшена стабильность Beaver'а;
• Улучшена стабильность Log-Collector'а.

Оптимизированы правила корреляции

• Добавлена функция compare;
• Изменено сравнение с пустой строкой.

Скорректированы интерфейсы

• Интерфейс управления правилами корреляции;
• Интерфейс управления правилами корреляции;
• Интерфейс карточки инцидента;
• Интерфейс шаблонов Алерта;
• Интерфейс связи компонентов карты кластера;
• Интерфейс добавлено структурированное представление события в просмотре инцидента;
• Интерфейс проверки прав доступа к компонентам системы.

Другие изменения

• Обновлен функционал обработки отчетов RedCheck;
• Актуализирван протокол взаимодействия с ГосСОПКА;
• Добавлена возможность вывода в шаблон инцидента информации из агрегации;
• Добавлена информация о количестве ошибок в правиле корреляции в интерфейс;
• Изменена ротация логов коррелятора.

Добавлены новые источники

• Astra Linux
• KVM
• FreeRadius

Обновлены источники

• Microsoft Windows
• Linux Auditd
• Nginx
• Huawei Switch
• Sysmon Windows
• Oracle MySQL

Обновлены парсеры и нормализаторы

• Suricata
• Nginx
• Checkpoint Firewall Logexporter
• Windows Taskscheduler
• Syslog

Версия 3.6.5

Документация

В Интерфейс Платформы Радар мы добавили раздел с документацией. Работая с Платформой Радар, вы в любое время можете обратиться к документации. Доступ к документации будет всегда под рукой.

Сбор событий

В процесс сбора событий из файлов добавлена поддержка многострочных событий. Добавлены параметры, которые позволяют читать многострочные параметры из файлов формата JSON И XNL.

Обновление с предыдущих версий

Мы подготовили новую инструкцию по обновлению Платформы Радар. Теперь можно проводить обновление на новую версию без обновления до промежуточных версий.

Правила корреляции

В правила корреляции добавлены шаблоны алертов и групперов. Шаблоны могут быть добавлены, изменены, удалены. Добавление шаблонов упрощает создание правил корреляции.

Максимальное количество срабатываний правил корреляции в секунду задается глобальном параметре конфигурации: Кластер - Управление конфигурацией - Logmule2 - Максимальное количество сработок.

Версия 3.6.0

Новый коррелятор

В версии 3.6.0 встречайте Новый коррелятор.

Теперь разрабатывать правила корреляции потока входящих событий стало еще проще благодаря использованию конструктора правил корреляции. Конструктор позволяет создавать инциденты по результатам работы правил корреляции, определять правила группировки входящих событий, определять действия с табличными списками, конструировать условия корреляции. Также доступна разработка правил корреляции с применением скриптового языка Lua.

И вместе с этим изменился интерфейс раздела, посвященного Корреляции. Все подразделы, относящиеся к корреляции, имеют единообразный интерфейс и одинаковые элементы управления.

Фильтры потока событий

Мы добавили отдельный подраздел, позволяющий управлять фильтрами потока событий. Фильтры позволяют отобрать только необходимые для корреляции события, что сокращает время обработки потока входящих событий и снижает нагрузку на сам коррелятор.

Макросы

Теперь при разработке правил корреляции можно добавлять макросы. Это небольшие универсальные куски кода или функции, которые могут применяться в различных правилах корреляции. Применение макросов позволяет сократить объем правил корреляции и упростить их написание.

Правила

Мы изменили раздел с правилами корреляции. Теперь к правилам корреляции можно добавлять фильтры потока событий и макросы, как написано выше. Для каждого правила доступна обширная статистика его использования и гибкая настройка правил корреляции.

Табличные списки

Вместе с новым коррелятором изменились и табличные списки. Структура табличных списков может быть настроена очень гибко. Сами табличные списки могут наполняться при корреляции событий на основе разработанных правил корреляции.

Версия 3.5.4

Улучшения в функциональности и стабильности Платформы Радар

Расширены функциональные возможности:

• Минимальный уровень безопасности транспортного уровня для всех компонентов установлен TLS 1.2;
• Улучшена совместимость мультиарендности;
• Появилась поддержка работоспособности версии 3.3.2 в интерфейсе мультиарендности версии 3.5.4;
• Появилась возможность для каждого добавляемого узла в кластере в режиме мультиарендности указать номер версии узла;
• Диагностика обеспечивает проверку состояния всех сервисов и компонентов Платформы Радар.

Добавлена поддержка источников событий

• Dell IDRAC
• ISC Bind DNS
• Linux NFS Server
• Microsoft DNS
• Microsoft Windows Event Forwarding
• Solar Dozor

Версия 3.5.0

• Изменения в Лицензировании -- привязка лицензии к системному окружению, определение параметров лицензирования, лицензирование модулей Платформы Радар (ГосСОПКА);
• Интеграция с ГосСОПКА -- новый интегратор с ГосСОПКА;
• Экспорт и импорт -- добавлена возможность экспорта и импорта источников событий, правил разбора, нормализации и корреляции;
• Добавлена поддержка источников событий:
  • Apache HTTP server
  • Apache Tomcat
  • AppLocker
  • Astra Linux
  • CentOS Linux
  • Checkpoint NGFW
  • Cisco snort
  • Citrix ADC (Netscaler)
  • Confident Dallaslock
  • D-link xStack
  • Debian Linux
  • Fedora Linux
  • FireEye HX
  • FortiSandbox
  • Huawei Switch
  • IBM AIX
  • IBM Postfix
  • Kaspersky Anti Targeted Attack
  • Kaspersky MariaDB
  • Kaspersky Secure Mail Gateway
  • Kaspersky Web Traffic Security
  • Linux Auditd
  • McAfee Web Gateway
  • Microsoft Exchange Server. OWA
  • Microsoft Exchange Server. SMTP
  • Microsoft Exchange Server. Message Tracking
  • Microsoft Exchange Server. Audit
  • Microsoft SQL Server
  • nGate Firewall
  • Nginx
  • Oracle Database
  • Oracle MySQL
  • Oracle NetListener
  • pfSense Firewall
  • PostgreSQL
  • Red Hat Enterprise Linux (RHEL)
  • Solar WebProxy
  • Staffcop Enterprise
  • SUSE Linux Enterprise
  • Ubuntu Linux
  • Usergate UTM Firewall
  • vGate
  • СКДПУ НТ
• Повышена стабильность работы лог-коллектора;
• Исправление ошибок, улучшение функциональности и стабильности Платформы Радар.

Версия 3.3.2

• Сквозной идентификатор инцидента -- всем инцидентам присваивается уникальный идентификатор;
• Планировщик задач -- планирование задач CRON или задач интеграции с KSC;
• Лог-коллектор -- добавлены новые источники лог-коллектора;
• Полноценный установщик логколлектора для операционных систем на базе Windows;
• Поддержка работоспособности логколлектора на операционной системе Windows Server 2022;
• Лицензирование -- изменена механика детектирования превышения лимита лицензии по EPS;
• Использование Beaver -- появилась предварительная возможность использовать Beaver для обработки пайплайна в управлении конфигураций;
• Улучшение работы с управлением конфигурацией:
  • Настройки отдельных узлов -- переопределение настроек модулей системы для конкретных узлов;
  • Параметры из консоли -- управление конфигурацией Платформы Радар из консоли;
• Добавлен вывод времени фиксации инцидента и его переоткрытия;
• Убраны ограничения по именованию правил корреляции;
• Множественные улучшения функциональности и стабильности Платформы Радар.

Версия 3.3.1

• Управление конфигурацией кластера -- управление конфигурационными параметрами Платформы Радар в целом и параметрами каждого отдельного модуля Платформы Радар;
• Дополнительные поля -- дополнительные поля, создаваемые вручную или правилами корреляции, для отображения в карточке инцидента;
• Изменение количества событий при просмотре событий -- выделенный раздел просмотра событий с управлением количеством просматриваемых событий;
• Группировка инцидентов -- объединение инцидентов в группы для совершения массовых действия;
• Ретроспективная корреляция -- проверка гипотез на основе исторических данных, хранимых в системе;
• Доработка системы уведомлений администратора о прекращении работы службы -- отправка администратору уведомлений о прекращении работы службы Платформы Радар;
• Изменение протокола взаимодействия Logmule с RMCA на Cruddy;
• Привязка событий к инцидентам -- привязка дополнительных событий вручную для анализа причины инцидента;
• Поддержка режима мультиарендности для раздела мониторинга;
• Переоткрытие инцидента -- настраиваемый параметр переоткрытия инцидента при его повторении;
• Оповещения по задержкам -- настройка оповещений при эскалации инцидентов.

Версия 3.1.0

• Рабочий стол -- сводная информация по работе Платформы Радар;
• Пользовательские настройки -- настройки интерфейса Платформы Радар и ее поведения для авторизовавшегося пользователя;
• Инциденты -- управление событиями информационной безопасности;
• Активы -- управление активами организации;
• Коррелятор -- управления правилами корреляции, самим коррелятором и диагностикой работы правил корреляции;
• Оценка соответствия ПО -- настройка и просмотр результатов проверки соответствия группы активов политикам контроля списков установленного программного обеспечения;
• Сообщения -- просмотр сообщений, отправленных внутри Платформы Радар;
• Отчеты -- просмотр отчетов по работе с Платформой Радар;
• Управление пользователями -- раздел администрирования по управлению пользователями и ролями Платформы Радар;
• Управление кластером -- раздел администрирования по управлению составом и настройками модулей Платформы Радар;
• Управление источниками событий -- раздел администрирования управлению источниками событий информационной безопасности;
• Мониторинг Платформы Радар -- раздел администрирования по просмотру статистики работы Платформы Радар;
• Управление репутационными списками -- раздел администрирования по управлению репутационными списками;
• Управление табличными списками -- раздел администрирования по настройке обогащения событий информационной безопасности;
• Настройка контроля установленного ПО -- раздел администрирования по настройке правил контроля установленного ПО;
• Управление параметрами Платформы Радар -- настройка общих параметров Платформы Радар/