4.0.0 февраль 2025

Изменение системных требований

Теперь Платформа Радар работает на ОС Debian 12.8.

Внимание! Перед обновлением платформы до версии 4.0.0 необходимо обеспечить выполнение требований к ПО.

Обновление интерфейса

Что изменилось:

Навигация:
- упрощена структура меню;
- переработано расположение элементов, чтобы сократить количество кликов до нужной функции.
Дизайн:
- современный минималистичный стиль: интерфейс стал визуально чище и проще;
- новые цветовые акценты для более комфортного восприятия.
Функциональность:
- добавлена боковая панель, предназначенная для поиска, сортировки, фильтрации и выбора объекта, для вывода информации о нем в рабочей области;
- сортировка и фильтрация может выполняться практически по любым полям выбранного объекта;
- в фильтры боковой панели и универсальных таблиц добавлена поддержка функции "отрицание";
- внедрены массовые операции для большинства объектов боковой панели и записей таблиц.
Производительность:
- интерфейс стал работать быстрее благодаря оптимизации загрузки страниц;
- сокращено время отклика для часто используемых функций.

Примеры:

Основная работа с объектами выполняется в универсальных таблицах. Из таблиц возможен переход на форму просмотра выбранного объекта, где будет доступна боковая панель, позволяющая быстро переключаться между объектами.

Диаграммы, визуализации и графики формируются с огромной скоростью, а у пользователя есть возможность настроить их расположение и размер в реальном времени:

Хотите узнать больше? Изучите руководство, посвященное приемам работы в новом интерфейсе.

Внимание С выходом версии 4.0.0 старая версия интерфейса будет больше недоступна.

Расширен список рабочих столов, входящих в поставку

Для вашего удобства теперь платформа поставляется со следующими рабочими столами, которые визуализируют основные параметры для быстрого анализа:

Основной. Содержит следующую информацию:
- средний EPS;
- количество новых инцидентов;
- количество новых происшествий;
- диаграмма по закрытым инцидентам;
- диаграмма со статусами всех открытых инцидентов;
- диаграмма с распределением открытых инцидентов по критичности;
- таблица с топ-5 активов (или групп активов) по открытым инцидентам;
- состояние платформы.
Активы. Содержит следующую информацию:
- количество активов и групп активов;
- диаграмма по всем активам с тремя значениями:
  - зелёная зона - сканирование произведено не более, чем 30 дней назад;
  - желтая зона - более 30 дней назад;
  - красная зона - сканирование не было произведено.
- диаграмма с результатами сканирования активов;
- количество инцидентов по уязвимостям и оценке соответствия;
- диаграммы со статусами открытых инцидентов по уязвимостям и оценке соответствия.
События. Содержит следующую информацию:
- EPS и общее количество событий;
- диаграмма с распределением событий по типам источников;
- статусы по задержкам в обработке событий в процессах корреляции и нормализации;
- диаграмма с распределением событий по категориям;
- таблица со списком источников, для которых выявлены задержки в поступлении событий.
Состояние системы. Содержит следующую информацию:
- информация о состоянии служб, правил корреляции, задержек в обработке, хранилища;
- таблица с узлами, на которых остановлена какая-либо из служб и списком остановленных служб;
- таблица с правилами корреляции, остановленными в результате ошибок;
- таблица с топиками сервиса Kafka у которых накопилась большая очередь.

Новый подход к работе с источниками и обработке событий

Изменения лог-коллектора:

упрощен механизм конфигурирования лог-коллектора;
теперь настройка выполняется из веб-интерфейса платформы;
улучшен механизм обновления лог-коллектора:
- для ОС Linux лог-коллектор теперь обновляется автоматически с обновлением платформы;
- для ОС Windows теперь при обновлении вы можете выбрать опцию: перезаписывать или не перезаписывать конфигурационный файл лог-коллектора.

Теперь за прием событий от лог-коллектора отвечает сервис Log-proxy, а сервис Rsyslog удален из платформы.

Особенности сервиса Log-proxy:

прием событий от лог-коллектора осуществляется на один порт (по умолчанию 1100);
реализовано сжатие данных при передаче от лог-коллекторов.

Изменения в механизме разбора и нормализации событий:

правила нормализации более не являются отдельной сущностью, а входят в состав правил разбора;
правило разбора теперь состоит из двух частей:
- Процедура разбора – параметры преобразования входящего события на пары «Ключ-Значение»;
- Процедура нормализации – параметры передачи полученных пар «Ключ-Значение» в таксономию.
для каждого источника теперь можно использовать одно безусловное и любое количество условных правил разбора. Безусловно применяемое правило будет применяться для всех событий которые поступают от источника;
для выполнения процедуры разбора событий, поступающих от источников, могут использоваться следующие механизмы:
- GROK Паттерн;
- CEF;
- Ключ-Значение;
- CSV;
- SYSLOG;
- XML;
- JSON;
- Функция преобразования.
для однозначной идентификации сработавшего механизма разбора можно использовать "префиксы";
результаты работы механизмов разбора можно "сгруппировать" для дальнейшей обработки;
для выполнения процедуры нормализации могут использоваться следующие методы подстановки пар "Ключ-Значение" в таксономию:
- Функция преобразования;
- Строка;
- Поле разбора.
для проверки работы механизмов разбора и нормализации в каждое правило разбора встроен механизм тестирования;
за процедуру обогащения теперь отвечает отдельный сервис Enricher, который поддерживает следующие механизмы обогащения:
- DNS обогащение – наполнение событий дополнительной информацией на основе данных DNS-сервера;
- GeoIP обогащение – добавление информации о географическом местоположении IP-адресов, например, о стране и городе расположения;
- По табличному списку – наполнение событий дополнительной информацией на основе данных табличных списков, добавленных в платформу;
- По справочнику – наполнение событий дополнительной информацией на основе данных локальных справочников;
- По локальному адресу – обогащение данных об IP-адресе: входит ли он в локальную сеть или нет.
Со временем мы планируем расширить количество поддерживаемых механизмов обогащения.

Изменился механизм подключения источников к платформе:

теперь для корректной обработки данных, поступающих от источников, каждый источник в платформе обладает уникальным номером, по которому все события от данного источника будут помещаться в один топик для дальнейшей обработки;
для источников можно выбрать один из двух способов преобразования данных:
- RAW-JSON – сервис Log-proxy обернет входящий поток событий в переменную json и дополнит технической информацией;
- JSON-JSON – сервис Log-proxy дополнит входящий поток событий дополнительными полями с технической информацией.
для источников теперь можно включить/выключить исполнение правил разбора, настроенных для источника;
для проверки настроенных правил разбора и обогащения для источника в платформу добавлен механизм отладки источников.

Мы подготовили ряд инструкций и справочной информации для детального погружения в новый подход к работе с источниками и обработке событий:

Коррелятор

Новые возможности:

Пересылка событий – добавлено отображение статистики количества пересланных событий;
Настройка группера – добавлена возможность заполнения параметров агрегации на основе указанных параметров группировки;
Цепочка событий – добавлена возможность отслеживания и группировки подозрительных событий, следующих одно за другим (цепочки событий). Реализован интерфейс для редактирования параметров выявления цепочки событий. Интерфейс доступен в конструкторе правила корреляции и в шаблонах группировки;
Табличные списки – добавлена возможность группировки по полям записей табличного списка;
Статистика работы правил корреляции – добавлена возможность фильтрации и сортировки инцидентов по количеству "сработок" правила корреляции.

Разное

при просмотре списка инцидентов добавлена информация о результатах анализа;
из платформы удалены неактуальные источники IOC: "nothink-ssh-scanner" и "nothink-telnet-scanner".