История версий 2025

Версия 4.2.4 декабрь 2025

Основные изменения

• Добавлен новый механизм разбора EXECVE, который позволяет разбирать тип событий EXECVE от компонента auditd, который используется в Unix системах.
• Добавлен новый механизм обогащения Корректировка времени, который позволяет добавлять в события данные, связанные со смещением времени.
• Добавлена возможность текстового поиска событий с помощью запросов с использованием логических операторов.
• Добавлена поддержка импорта данных сканирования активов от программы ScanOVAL.
• Добавлена поддержка протокола WinRM для удаленного сбора данных с активов.
• На форму просмотра профиля сбора добавлено отображение информации об отброшенных событиях.
• В универсальную таблицу и на форму просмотра правила корреляции добавлено отображение информации об используемых табличных списках.
• Теперь для виджета "Гистограмма" можно выбрать один из следующих способов построения: "с накоплением", "без накопления" или "нормированная".

• Добавлены следующие инструкции по первичной настройке платформы после установки:

  • Включение компрессии в сервисе OpenSearch;
  • Настройка оптимального количества обработчиков для сервиса Beaver;
  • Настройка оптимального количества обработчиков для сервиса Termit.

Источники

Обновлены инструкции по подключению следующих источников:

• OC семейства Unix:

  • добавлено описание настройки журналирования Bash-команд;
  • обновлен файл настройки аудита: /etc/audit/rules.d/extended.rules;
  • обновлено описание настройки журналирования UFW и firewalld.

• KVM Hypervisor. Libvirt;

• Microsoft SQL Server. Event Log.

Изменения в API

Добавлено описание следующих ресурсов:

• messages – управление сообщениями между пользователями платформы;
• agents – управление агентами сбора лог-коллектора;
• agent_modules – управление профилями сбора;
• input_sources – управление источниками событий информационной безопасности;
• retro_jobs – управление задачами ретроспективной корреляции.

Изменены следующие ресурсы:

• В ресурс logmule_go_rules добавлен метод search_with_update_reload, который возвращает найденные правила корреляции с учетом заданных фильтров и обновляет флаг reload (перезагрузка правила после обновления) в значение false (выключено).

Изменен метод /<ресурс>/search:

• теперь при использовании метода, можно включить поиск по всем родительским и дочерним связям объекта поиска. Возможность регулируется параметром extension_params;
• изменен формат фильтров (параметр filters) моделей, который теперь позволяет комбинировать их в произвольных группах с помощью логических операторов: "или", "и", "не".

Версия 4.2.3 ноябрь 2025

Основные изменения

• Улучшена стабильность работы Платформы Радар:

  • улучшена работа фильтров в универсальных таблицах;
  • улучшена работа серверной роли "agent" и лог-коллектора;
  • улучшена работа центра управления API;
  • улучшена работа ролей пользователей;
  • улучшена работа мониторинга;
  • повышена скорость работы с результатами сканирования активов;
  • улучшено визуальное представление рабочих столов и отчетов.

• Обновлены пакеты программ в репозиториях.

• Добавлен поиск по разделам платформы.
• Параметры / Управление конфигурацией – добавлена возможность настройки аудита действий пользователей в платформе.

• Пользователи и права – переработана роль "Доступ к правилам разбора (parsers)". Теперь возможности по работе с правилами разбора назначаются отдельной ролью:

  • parsers_C – добавление правил разбора;
  • parsers_D – удаление правил разбора;
  • parsers_R – просмотр правил разбора;
  • parsers_U – изменение правил разбора.

• Актуализирована инструкция по работе в LUA-редакторе правил корреляции:

  • дополнены приемы по работе с функциями;
  • добавлено описание работы с Pattern Matcher;
  • добавлено описание работы с функцией "Алерт".

  Подробнее см. Описание редактора Lua для правил корреляции.

Версия 4.2.2 октябрь 2025

Основные изменения

Повышена стабильность и производительность платформы:

• Изменение системных требований – теперь Платформа Радар поддерживает работу на ОС Astra Linux 1.8.3.2 и выше.
• Аудит действий пользователей – расширен список действий пользователей в платформе, доступный администратору для мониторинга.
• Рабочие столы и Отчеты – оптимизирована работа виджетов.

• Универсальные таблицы:

  • расширен список таблиц, в которых доступна возможность быстрой сортировки;
  • улучшена работа текстового поиска.

• Значения дополнительных полей – улучшен механизм хранения.

• Лог-коллектор – расширен перечень данных, доступных для мониторинга модуля.

Источники

Обновлены инструкции по подключению следующих источников:

• OC семейства Unix;
• OC Windows.

Версия 4.2.1 сентябрь 2025

Основные изменения

• Повышена стабильность и производительность платформы:

  • ускорена работа с большим объемом данных;
  • упрощена навигация по основным разделам платформы;
  • улучшены возможности по фильтрации и сортировки в универсальных таблицах;
  • добавлены механизмы, расширяющие возможности сортировки по выбранным значениям. Подробнее см. раздел Быстрая сортировка.

• Для корректной работы лог-коллектора на машинах с ОС Windows необходимо открыть порт 8080/tcp.

• Добавлена возможность указывать нулевой уровень риска (значение 0) у типа инцидента.
• Изменился порядок настройки платформы для работы в DNS инфраструктуре. Подробнее см. инструкцию Настройка платформы для работы в DNS инфраструктуре.

Изменения портов

Ниже представлена таблица с перечнем измененных портов:

Порт	Используется сервисом	Изменен на порт
18567	logmule-go-lua	9911
40001	Flow-balancer	9912
40002	nginx to logmule	9913
40003	logmule	9914
40005	beaver	9915
40041	Flow-balancer	9912
40051	logmule	9916
40052	nginx to logmule	9917
18184	agent_module	9918
48000	agent_module	9919
48001	agent_module	9920
48004	agent_module	9921
48005	agent_module	9922
48006	agent_module	9923
48181	agent_module	9924

Перед обновлением платформы указанные порты необходимо открыть для отправки/приема сообщений.

Источники

Обновлены инструкции по подключению следующих источников:

• Microsoft Windows HyperV;
• Kaspersky Security Center Database;
• Oracle Database. Audit;
• FreeBSD;
• Microsoft-SQL-Server.

Версия 4.2.0 август 2025

Основные изменения

• Изменение системных требований – теперь Платформа Радар работает на ОС Debian 12.11.
• Интеграция с Active Directory (AD) – управление интеграцией теперь выполняется через централизованный механизм управления интеграциями.
• Просмотр событий – реорганизована зона просмотра потока событий:
  • доработано табличное представление событий;
  • улучшена визуализация графика потока событий;
  • элементы управления графиком сгруппированы по функциональному назначению.
• Правила разбора – добавлен новый метод разбора Не требуется, который позволяет не использовать специфические парсеры, а использовать имеющиеся событие "как есть".
• Агенты и профили сбора – добавлена возможность настройки подключения к сервису Log-proxy из интерфейса платформы. Для настройки доступны следующие параметры:
  • размер буфера на чтение и на запись;
  • использовать ли сжатие при передаче данных;
  • переопределять ли параметры агента сбора для конкретного профиля сбора.
• Универсальные таблицы – добавлена возможность сохранения параметров сортировки и фильтрации в "пресет".
• Реализована возможность массового изменения настроек правил корреляции. Опция доступна для следующих настроек:
  • максимальное число сработок;
  • интервал подсчета кол-ва сработок;
  • максимальный размер используемой памяти.
• В формы просмотра детальной информации о сущностях, добавлена функция автоматического обновления отображаемых данных. Функция срабатывает каждые 60 секунд.

Источники

Добавлены новые источники:

Наименование	Номер источника в платформе
МойОфис почта	1535
ViPNet IDS infotecs	2210
Ideco UTM-Syslog	2500
Ideco UTM-CEF	2501
CheckPoint Firewall-Netflow	2509
Cisco ASR	2527
Teleport (Gravitational inc)	2594
DrWeb-Syslog	2611
DrWeb-Windows logs	2612
Keycloack	2672
Linux-Iptables	2674
ALD-pro	2675
Communigate	2801
Zabbix Monitoring	3100
OpenStack	4001
1C Enterprise	4008
Keenetic Router	5001

Изменения в API

Добавлены следующие ресурсы:

• asset_lookup_confs – управление политиками идентификации активов;
• presets – управление сохраненными параметрами фильтрации и сортировки универсальных таблиц;
• logmule_go_head_filters – управление фильтрами для пересылки событий;
• vulnerability_scan_comparisons – управление сравнением результатов сканирования;
• reports – управление отчетами;
• report_category – управление категориями отчетов;
• reports_archive – управление архивом отчетов;
• report_tasks – управление периодическими задачами отчетов.

Изменены следующие методы:

• /<ресурс>/delete_all – теперь при реализации метода, на вход можно подать запрос поиска. Поведение метода теперь выглядит следующим образом:
  • если на вход будет передан запрос поиска, то удалятся объекты подходящие под поисковый запрос;
  • если не будет передан, то удалятся все объекты.

Версия 4.1.0 май 2025

Основные изменения:

• Механизм управления интеграциями;
• Интеграция с системой RT Protect EDR;
• Лог-коллектор. Агенты и профили сбора;
• Коррелятор. Папки контента;
• Коррелятор. Цепочка событий;
• Шаблоны контента;
• Универсальные таблицы. Сортировка;
• Экспорт событий.

Механизм управления интеграциями

В Платформе Радар реализован механизм централизованного управления интеграциями с внешними системами.

Различные классы систем, с которым можно настроить интеграцию, называются в платформе Типами интеграций. Для каждого типа интеграции может быть одновременно настроено несколько экземпляров интеграции.

Механизм предоставляет следующие возможности:

• создание экземпляров интеграции для различных систем;
• управление задачами и командами интеграций;
• просмотр журнала выполнения задач и команд интеграций.

Общие приемы управления интеграциями описаны в следующих разделах:

• Интеграции;
• Типы интеграций.

Интеграция с системой RT Protect EDR

В Платформе Радар добавлена поддержка интеграции с системой RT Protect Endpoint Detection and Response (сокращенно – RT Protect EDR) от компании АО «РТ-Информационная безопасность» — организация прямого управления Государственной корпорации «Ростех».

Возможности, предоставляемые интеграцией:

• выполнение активных действий на активах;
• автоматическое выполнение действий на активах при "сработке" правила корреляции;
• импорт активов из RT Protect EDR в Платформу Радар;
• синхронизация инцидентов.

Настройка интеграции с системой RT Protect EDR приведена в разделе Настройка интеграции с RT Protect EDR.

Описание изменения интерфейса Платформы Радар, для обеспечения взаимодействия с системой RT Protect EDR, приведено в разделе Работа с интеграцией RT Protect EDR.

Подробнее о системе RT Protect EDR можно узнать на сайте производителя: РТ-Информационная безопасность.

Лог-коллектор. Агенты и профили сбора

В Платформе Радар изменился порядок настройки лог-коллектора.

Теперь настройка лог-коллектора заключается в конфигурировании Агентов сбора и Профилей сбора под особенности инфраструктуры организации.

Агент сбора – это компонент лог-коллектора, отвечающий за сбор событий от источников. Агент сбора создается автоматически при назначении узлу кластера соответствующей роли:

• agent – на узле будет установлена версия агента сбора для OC Linux;
• agent win – на узле будет установлена версия агента сбора для OC Windows.

Профиль сбора – это набор настроек, отвечающий за параметры сбора событий ИБ с конкретных источников. Для одного агента сбора может быть настроено произвольное количество профилей сбора. Необходимое количество профилей сбора определяется количеством источников, с которых будет осуществляться сбор.

Управление конфигурационным файлом лог-коллектора (config.yaml) будет более недоступно из интерфейса платформы.

Процедура обновления:

1. Сделайте резервную копию конфигурационного файла лог-коллектора (config.yaml).
2. Обновите платформу до версии 4.1.0.
3. Обновите экземпляры лог-коллектора для ОС Windows и Linux.
4. Перейдите в раздел Источники → Агенты сбора и удостоверьтесь что все параметры конфигурационного файла лог-коллектора были корректно конвертированы в агенты и профили сбора.

Дополнительные возможности при настройке лог-коллектора:

• просмотр статистики полученных событий по всем профилям сбора на выбранном агенте;
• просмотр статистики работы профиля сбора;
• импорт/экспорт профилей сбора;
• использование шаблонов для быстрой настройки профилей сбора;
• просмотр используемых профилей сбора по выбранным источникам.

Подробнее об агентах и профилях сбора см. раздел Настройка лог-коллектора.

Коррелятор. Папки контента

Реализована возможность настройки структуры папок для каталогизации и хранения правил корреляции.

Для этого реализован механизм управления папками контента, который предоставляет следующие возможности:

• создание папок до нужной глубины вложенности;
• создание правила корреляции в выбранной папке;
• массовый перенос правил корреляций в выбранную папку;
• возможность просмотра папок в одном из режимов: каскадном или обычном;
• просмотр количества правил корреляций, содержащихся в папках структуры на всю глубину вложения.

Управление папками контента выполняется в новом разделе Папки контента.

Просмотр содержимого папок выполняется через боковую панель раздела Коррелятор → Правила корреляции.

Коррелятор. Цепочка событий

Добавлена возможность отслеживания и группировки подозрительных событий, следующих одно за другим (цепочки событий).

Реализован интерфейс для редактирования параметров выявления цепочки событий. Интерфейс доступен в конструкторе правила корреляции и в шаблонах группировки.

Шаблоны контента

Реализован механизм использования шаблонов для упрощения создания/редактирования пользовательского контента.

Шаблон будет определять структуру данных, внешний вид и поведение форм при создании/редактировании пользовательского контента.

Механизм предоставляет следующие возможности:

• сохранение пользовательского контента как шаблон;
• создание/редактирование пользовательского контента на основе ранее разработанного шаблона.

Централизованное управление шаблонами выполняется в разделе Шаблоны.

На данный момент поддерживаются шаблоны для следующих типов пользовательского контента:

• Профили сбора.

Универсальные таблицы. Сортировка

Добавлена возможность быстрой сортировки содержимого таблицы по клику на заголовок столбца.

Экспорт событий

В раздел События добавлена возможность экспорта событий в CSV-файлы.

Поддерживается экспорт на всю глубину фильтрации.

Разное

• Интеграция с Kaspersky Security Center – управление интеграцией теперь выполняется через централизованный механизм управления интеграциями.
• Интерфейс. Табличное представление – для всех разделов интерфейса с пользовательским контентом теперь доступно табличное представление.
• Универсальные таблицы. Экспорт в CSV – добавлена возможность экспорта в CSV-файлы. Экспорт работает по выбранным элементам и только для отображаемых колонок таблицы.

Изменения в API

Добавлены следующие ресурсы:

• Интеграции:

  • integration_types – управление типами интеграций;
  • integrations – управление экземплярами интеграций;
  • integration_schedulers – управление задачами по расписанию;
  • integration_actions – управление активными действиями интеграции;
  • integration_actions_logs – получение журнала выполнения активных действий;
  • service_asset_integrations – управление активами, посредством интеграции;
  • logmule_go_rules_integration_actions – управление активными действиями интеграции в правилах корреляции.

• Папки контента:

  • content_folders – управление папками контента;

• Сканер активов (ресурс sonar):

  • ksc-log – получение текста KSC-лога;
  • devices – управление хостами;
  • services – обнаружение сервисов;
  • hardware – сканирование аппаратного обеспечения;
  • software – сканирование программного обеспечения.

Добавлены следующие методы:

• /<ресурс>/mass_update – массовое изменение значения одного поля у нескольких элементов. Например, массовое изменение состояния.

Версия 4.0.1 март 2025

Основные изменения

• Работа в режиме мультиарендности – добавлена возможность выполнить синхронизацию источников, правил разбора и табличных списков из универсальной таблицы соответствующего раздела.
• Источники – в список источников добавлено отображение информации о состоянии источника и добавлена возможность быстрого перехода к соответствующему правилу разбора.
• Ускорен сбор метрик с балансировщика коррелятора.
• Раздел Профиль пользователя теперь доступен в новом интерфейсе.
• Установка. Изменился перечень действий, которые необходимо выполнить после установки платформы (подробнее см. раздел Действия после установки платформы).

GROK паттерны

Реализована поддержка пользовательских GROK паттернов.

GROK паттерны – это именованные регулярные выражения, которые позволяют пользователям сопоставлять конкретные шаблоны в тексте. С их помощью можно быстро идентифицировать и извлекать поля из поступающих событий без необходимости писать сложные регулярные выражения с нуля.

Пользователям доступны следующие функции:

• создание, просмотр, изменение, удаление GROK-паттернов;
• использование GROK-паттернов при настройке правил разбора;
• объединение GROK-паттернов в группы;
• управление группами GROK-паттернов.

Управление GROK паттернами выполняется в новых разделах Паттерны GROK и Группы GROK.

Коррелятор

Шаблоны алерторв – добавлена возможность нахождения уникальных значений из логлайнов. Для нахождения уникальных значений используются следующие функции:

• uniqFields – нахождение уникального названия поля;
• uniq – нахождение уникальных значений массива;
• min, max – нахождение минимальных и максимальных числовых значений;
• avg – нахождение среднего числового значения в массиве.

Отладка правил – улучшено журналирование работы правил корреляции:

• оптимизирован механизм журналирования;
• уровень журналирования по умолчанию: error;
• в интерфейсе просмотра правила корреляции переименована таблица "Лог ошибок" в "Лог правила";
• в таблице "Лог правила" переименована графа "Ошибка" в "Сообщение";
• в таблицу "Лог правила" добавлена информация об уровне выводимого сообщения: debug, info, warn или error;
• добавлены фильтры по уровню журналирования: "Все сообщения", "Информационные, предупреждения и ошибки", "Предупреждения и ошибки", "Только ошибки".

Создание правил – в редакторе Lua добавлена возможность использовать шаблоны алертов и группировки.

Пересылка событий – для функции сравнения "Поиск подстроки в строке" добавлена возможность настроить размер очереди событий на пересылку.

API взаимодействие

Платформа Радар постепенно переходит на новую версию API с v1 на v2.

Список ресурсов с которыми можно работать посредством новой версии API:

• Инциденты:

  • service_asset_findings – управление инцидентами информационной безопасности;
  • findings – управление типами инцидентов. Типы инцидентов содержат сведения об угрозах, на основе которых создаются инциденты;
  • incident_groups – управление группами инцидентов. С помощью групп инцидентов можно совершать массовые операции над инцидентами, входящими в группу;
  • occurrences – управление происшествиями;
  • custom_fields – управление дополнительными полями, которые можно добавлять к инцидентам информационной безопасности;
  • custom_fields_values – управление значениями, которые указываются в дополнительных полях инцидента.

• Активы:

  • service_assets – управление информацией об активах;
  • service_asset_groups – управление информацией о группах активов;
  • vulnerabilities – управление уязвимостями, выявленными в ходе результата сканирования активов;
  • vulnerability_hosts – управление хостами, на которых выявлены уязвимости.

• Соответствие ПО:

  • software_compliance_checks – управление результатами проверок соответствия ПО;
  • software – управление информацией о программном обеспечении, обнаруженном на активах;
  • software_groups – управление информацией о группах ПО;
  • rules – управление информацией о правилах соответствия ПО;
  • rule_sets – управление информацией о наборах правил соответствия ПО.

• Коррелятор:

  • logmule_go_rules – управление правилами корреляции;
  • logmule_go_filters –  управление фильтрами потока событий. Фильтры отвечают за фильтрацию потока событий по заданным условиям;
  • logmule_go_flows – управление связями фильтров потока событий с правилами корреляции;
  • logmule_go_modules – управление макросами. Макросы - это подключаемые общие модули к правилам корреляции, которые могут содержать как и переменные, так и расширять функционал с помощью функций;
  • logmule_go_results – управление результатами "сработок" правил корреляции. Результатом работы коррелятора является  так называемая "сработка" правила корреляции, на основании которой может быть создан инцидент и проведен анализ;
  • logmule_go_templates_alert – управление шаблонами алертов. Алерты являются частью правила корреляции и отвечают за поведение платформы при "сработке" привила;
  • logmule_go_templates_grouper – управление шаблонами группировки, которые используются в правилах корреляции. Группировка выполняется по выбранному полю нормализованного события;
  • value_stores – управление табличными списками. Табличные списки (Rapid Value Store), являются видом активного хранилища -- автоматически изменяемого, в зависимости от условий.

• Обработка событий:

  • mappings – управление полями события (таксономии), используемых в процессах разбора и нормализации.

• Рабочие столы:

  • dashboards – управление интерактивными информационными панелями, которые отображают данные о состоянии информационной безопасности.

Версия 4.0.0 февраль 2025

Изменение системных требований

Теперь Платформа Радар работает на ОС Debian 12.8.

Внимание! Перед обновлением платформы до версии 4.0.0 необходимо обеспечить выполнение требований к ПО.

Обновление интерфейса

Что изменилось:

1. Навигация:

   • упрощена структура меню;
   • переработано расположение элементов, чтобы сократить количество кликов до нужной функции.

2. Дизайн:

   • современный минималистичный стиль: интерфейс стал визуально чище и проще;
   • новые цветовые акценты для более комфортного восприятия.

3. Функциональность:

   • добавлена боковая панель, предназначенная для поиска, сортировки, фильтрации и выбора объекта, для вывода информации о нем в рабочей области;
   • сортировка и фильтрация может выполняться практически по любым полям выбранного объекта;
   • в фильтры боковой панели и универсальных таблиц добавлена поддержка функции "отрицание";
   • внедрены массовые операции для большинства объектов боковой панели и записей таблиц.

4. Производительность:

   • интерфейс стал работать быстрее благодаря оптимизации загрузки страниц;
   • сокращено время отклика для часто используемых функций.

Примеры:

Основная работа с объектами выполняется в универсальных таблицах. Из таблиц возможен переход на форму просмотра выбранного объекта, где будет доступна боковая панель, позволяющая быстро переключаться между объектами.

Диаграммы, визуализации и графики формируются с огромной скоростью, а у пользователя есть возможность настроить их расположение и размер в реальном времени:

Хотите узнать больше? Изучите руководство, посвященное приемам работы в новом интерфейсе.

Внимание С выходом версии 4.0.0 старая версия интерфейса будет больше недоступна.

Расширен список рабочих столов, входящих в поставку

Для вашего удобства теперь платформа поставляется со следующими рабочими столами, которые визуализируют основные параметры для быстрого анализа:

• Основной. Содержит следующую информацию:

  • средний EPS;
  • количество новых инцидентов;
  • количество новых происшествий;
  • диаграмма по закрытым инцидентам;
  • диаграмма со статусами всех открытых инцидентов;
  • диаграмма с распределением открытых инцидентов по критичности;
  • таблица с топ-5 активов (или групп активов) по открытым инцидентам;
  • состояние платформы.

• Активы. Содержит следующую информацию:

  • количество активов и групп активов;
  • диаграмма по всем активам с тремя значениями:
    • зелёная зона - сканирование произведено не более, чем 30 дней назад;
    • желтая зона - более 30 дней назад;
    • красная зона - сканирование не было произведено.
  • диаграмма с результатами сканирования активов;
  • количество инцидентов по уязвимостям и оценке соответствия;
  • диаграммы со статусами открытых инцидентов по уязвимостям и оценке соответствия.

• События. Содержит следующую информацию:

  • EPS и общее количество событий;
  • диаграмма с распределением событий по типам источников;
  • статусы по задержкам в обработке событий в процессах корреляции и нормализации;
  • диаграмма с распределением событий по категориям;
  • таблица со списком источников, для которых выявлены задержки в поступлении событий.

• Состояние системы. Содержит следующую информацию:

  • информация о состоянии служб, правил корреляции, задержек в обработке, хранилища;
  • таблица с узлами, на которых остановлена какая-либо из служб и списком остановленных служб;
  • таблица с правилами корреляции, остановленными в результате ошибок;
  • таблица с топиками сервиса Kafka у которых накопилась большая очередь.

Новый подход к работе с источниками и обработке событий

Изменения лог-коллектора:

• упрощен механизм конфигурирования лог-коллектора;
• теперь настройка выполняется из веб-интерфейса платформы;

• улучшен механизм обновления лог-коллектора:

  • для ОС Linux лог-коллектор теперь обновляется автоматически с обновлением платформы;
  • для ОС Windows теперь при обновлении вы можете выбрать опцию: перезаписывать или не перезаписывать конфигурационный файл лог-коллектора.

Теперь за прием событий от лог-коллектора отвечает сервис Log-proxy, а сервис Rsyslog удален из платформы.

Особенности сервиса Log-proxy:

• прием событий от лог-коллектора осуществляется на один порт (по умолчанию 1100);
• реализовано сжатие данных при передаче от лог-коллекторов.

Изменения в механизме разбора и нормализации событий:

• правила нормализации более не являются отдельной сущностью, а входят в состав правил разбора;

• правило разбора теперь состоит из двух частей:

  • Процедура разбора – параметры преобразования входящего события на пары «Ключ-Значение»;
  • Процедура нормализации – параметры передачи полученных пар «Ключ-Значение» в таксономию.

• для каждого источника теперь можно использовать одно безусловное и любое количество условных правил разбора. Безусловно применяемое правило будет применяться для всех событий которые поступают от источника;

• для выполнения процедуры разбора событий, поступающих от источников, могут использоваться следующие механизмы:

  • GROK Паттерн;
  • CEF;
  • Ключ-Значение;
  • CSV;
  • SYSLOG;
  • XML;
  • JSON;
  • Функция преобразования.

• для однозначной идентификации сработавшего механизма разбора можно использовать "префиксы";

• результаты работы механизмов разбора можно "сгруппировать" для дальнейшей обработки;

• для выполнения процедуры нормализации могут использоваться следующие методы подстановки пар "Ключ-Значение" в таксономию:

  • Функция преобразования;
  • Строка;
  • Поле разбора.

• для проверки работы механизмов разбора и нормализации в каждое правило разбора встроен механизм тестирования;

• за процедуру обогащения теперь отвечает отдельный сервис Enricher, который поддерживает следующие механизмы обогащения:

  • DNS обогащение – наполнение событий дополнительной информацией на основе данных DNS-сервера;
  • GeoIP обогащение – добавление информации о географическом местоположении IP-адресов, например, о стране и городе расположения;
  • По табличному списку – наполнение событий дополнительной информацией на основе данных табличных списков, добавленных в платформу;
  • По справочнику – наполнение событий дополнительной информацией на основе данных локальных справочников;
  • По локальному адресу – обогащение данных об IP-адресе: входит ли он в локальную сеть или нет.

  Со временем мы планируем расширить количество поддерживаемых механизмов обогащения.

Изменился механизм подключения источников к платформе:

• теперь для корректной обработки данных, поступающих от источников, каждый источник в платформе обладает уникальным номером, по которому все события от данного источника будут помещаться в один топик для дальнейшей обработки;

• для источников можно выбрать один из двух способов преобразования данных:

  • RAW-JSON – сервис Log-proxy обернет входящий поток событий в переменную json и дополнит технической информацией;
  • JSON-JSON – сервис Log-proxy дополнит входящий поток событий дополнительными полями с технической информацией.

• для источников теперь можно включить/выключить исполнение правил разбора, настроенных для источника;

• для проверки настроенных правил разбора и обогащения для источника в платформу добавлен механизм отладки источников.

Мы подготовили ряд инструкций и справочной информации для детального погружения в новый подход к работе с источниками и обработке событий:

• Схема обработки и корреляции событий;
• Общие сведения о лог-коллекторе;
• Правила разбора;
• Правила обогащения;
• Источники;
• Отладка источников;
• Поля события.

Коррелятор

Новые возможности:

• Пересылка событий – добавлено отображение статистики количества пересланных событий;
• Настройка группера – добавлена возможность заполнения параметров агрегации на основе указанных параметров группировки;
• Табличные списки – добавлена возможность группировки по полям записей табличного списка;
• Статистика работы правил корреляции – добавлена возможность фильтрации и сортировки инцидентов по количеству "сработок" правила корреляции.

Разное

• при просмотре списка инцидентов добавлена информация о результатах анализа;
• из платформы удалены неактуальные источники IOC: "nothink-ssh-scanner" и "nothink-telnet-scanner".