3.7.4 сентябрь 2024
Платформа Радар продолжает переход на более удобный и современный интерфейс и оптимизирует процесс обработки событий.
Основные изменения:
Инциденты
Доработаны возможности модуля "Инциденты", которые теперь доступны в новом интерфейсе:
- Инциденты – просмотр, анализ и управление инцидентами информационной безопасности;
- Типы инцидентов – просмотр и актуализация сведений об угрозах, на основе которых создаются инциденты;
- Группы инцидентов – работа с группами инцидентов и массовые операции над инцидентами через группы;
- Происшествия на отправку – отправка происшествий, выявленных в критической информационной инфраструктуре (КИИ) Российской Федерации, в национальный координационный центр по компьютерным инцидентам;
- Дополнительные поля – управление дополнительными полями инцидентов.
Пример карточки инцидента в новом интерфейсе модуля приведен на рисунке ниже:
Коррелятор
Доработаны возможности модуля "Коррелятор":
- реализована возможность создавать фильтры потока событий при редактировании правила корреляции;
- добавлена возможность не учитывать регистр при выполнении правила корреляции. Параметр настраивается в редакторе правил корреляции;
- добавлена возможность указывать ссылки на техники, используемые киберпреступниками, которые содержаться в базе знаний компании "Mitre";
- добавлена возможность ручного перезапуска правила корреляции.
Все возможности модуля теперь доступны в новом интерфейсе (см. раздел Коррелятор. Общие данные):
Маппинг
Реализована возможность настройки маппинга для обработки событий от источников. Пользователям доступны следующие функции:
- создание маппинга с собственными настройками;
- просмотр информации о созданных маппингах;
- добавление маппинга в следующие шаблоны событий: "Ошибка", "Разобрано", "Нормализовано";
- присвоение маппингу один из следующих типов:
keyword,date; - маппинги настраиваются в новом разделе Источники → Поля события.
Раздел Поля события реализован в новом интерфейсе (см. раздел Поля события).
Пересылка событий
Для режима мультиарендности реализована возможность пересылать события с одного экземпляра платформы на другой. За пересылку отвечает фильтр потока событий, который настраивается в новом разделе Коррелятор → Пересылка событий (см раздел Пересылка событий).
Источники
Добавлены новые источники:
- Mantis Bug Tracker;
- Papercut-NG ;
- OpenVPN;
- HAProxy;
- Zeek (IDS Bro-ids);
- Wireguard EdgeSecurity;
- ESET Security Management Center;
- VMware ESXi;
- Proxmox;
- Gitlab;
- Simon Kelley DNS;
- PaloAlto NGFW.
Обновлены источники:
Разное
- Конструктор виджетов, Отчеты – добавлена возможность использовать собственные стили шрифтов для отрисовки данных виджетов;
- Конструктор виджетов – для визуализаций "Временной ряд", "Круговая диаграмма", "Гистограмма", "Таблица" появилась возможность выбрать стратегию обработки некорректных значений: "Использовать значения по умолчанию" или "Игнорировать";
- Просмотр событий – добавлена возможность указывать ограничение поиска агрегации, по умолчанию параметр равен
10; - Конструктор виджетов – добавлена возможность формировать список происшествий за выбранный период;
- Виджет Таблица" – добавлена возможность группировать значения по выбранному столбцу;
- Рабочие столы и Отчеты – добавлена возможность импорта/экспорта рабочих столов и отчетов;
- Рабочие столы, Отчеты – реализована возможность перехода к табличному представлению информации из выбранного виджета;
- Рабочие столы – добавлена возможность дублировать рабочие столы;
- Сканер уязвимостей – добавлена возможность загрузки результатов сканирования
Nmapотчета в формате XML.