Перейти к содержанию

4.0.1 март 2025

Основные изменения

  • Работа в режиме мультиарендности – добавлена возможность выполнить синхронизацию источников, правил разбора и табличных списков из универсальной таблицы соответствующего раздела.
  • Источники – в список источников добавлено отображение информации о состоянии источника и добавлена возможность быстрого перехода к соответствующему правилу разбора.
  • Ускорен сбор метрик с балансировщика коррелятора.
  • Раздел Профиль пользователя теперь доступен в новом интерфейсе.
  • Установка. Изменился перечень действий, которые необходимо выполнить после установки платформы (подробнее см. раздел Действия после установки платформы).

GROK паттерны

Реализована поддержка пользовательских GROK паттернов.

GROK паттерны – это именованные регулярные выражения, которые позволяют пользователям сопоставлять конкретные шаблоны в тексте. С их помощью можно быстро идентифицировать и извлекать поля из поступающих событий без необходимости писать сложные регулярные выражения с нуля.

Пользователям доступны следующие функции:

  • создание, просмотр, изменение, удаление GROK-паттернов;
  • использование GROK-паттернов при настройке правил разбора;
  • объединение GROK-паттернов в группы;
  • управление группами GROK-паттернов.

Управление GROK паттернами выполняется в новых разделах Паттерны GROK и Группы GROK.

Коррелятор

Шаблоны алерторв – добавлена возможность нахождения уникальных значений из логлайнов. Для нахождения уникальных значений используются следующие функции:

  • uniqFields – нахождение уникального названия поля;
  • uniq – нахождение уникальных значений массива;
  • min, max – нахождение минимальных и максимальных числовых значений;
  • avg – нахождение среднего числового значения в массиве.

Отладка правил – улучшено журналирование работы правил корреляции:

  • оптимизирован механизм журналирования;
  • уровень журналирования по умолчанию: error;
  • в интерфейсе просмотра правила корреляции переименована таблица "Лог ошибок" в "Лог правила";
  • в таблице "Лог правила" переименована графа "Ошибка" в "Сообщение";
  • в таблицу "Лог правила" добавлена информация об уровне выводимого сообщения: debug, info, warn или error;
  • добавлены фильтры по уровню журналирования: "Все сообщения", "Информационные, предупреждения и ошибки", "Предупреждения и ошибки", "Только ошибки".

Создание правил – в редакторе Lua добавлена возможность использовать шаблоны алертов и группировки.

Пересылка событий – для функции сравнения "Поиск подстроки в строке" добавлена возможность настроить размер очереди событий на пересылку.

API взаимодействие

Платформа Радар постепенно переходит на новую версию API с v1 на v2.

Список ресурсов с которыми можно работать посредством новой версии API:

  • Инциденты:

    • service_asset_findings – управление инцидентами информационной безопасности;
    • findings – управление типами инцидентов. Типы инцидентов содержат сведения об угрозах, на основе которых создаются инциденты;
    • incident_groups – управление группами инцидентов. С помощью групп инцидентов можно совершать массовые операции над инцидентами, входящими в группу;
    • occurrences – управление происшествиями;
    • custom_fields – управление дополнительными полями, которые можно добавлять к инцидентам информационной безопасности;
    • custom_fields_values – управление значениями, которые указываются в дополнительных полях инцидента.

  • Активы:

    • service_assets – управление информацией об активах;
    • service_asset_groups – управление информацией о группах активов;
    • vulnerabilities – управление уязвимостями, выявленными в ходе результата сканирования активов;
    • vulnerability_hosts – управление хостами, на которых выявлены уязвимости.

  • Соответствие ПО:

    • software_compliance_checks – управление результатами проверок соответствия ПО;
    • software – управление информацией о программном обеспечении, обнаруженном на активах;
    • software_groups – управление информацией о группах ПО;
    • rules – управление информацией о правилах соответствия ПО;
    • rule_sets – управление информацией о наборах правил соответствия ПО.

  • Коррелятор:

    • logmule_go_rules – управление правилами корреляции;
    • logmule_go_filters –  управление фильтрами потока событий. Фильтры отвечают за фильтрацию потока событий по заданным условиям;
    • logmule_go_flows – управление связями фильтров потока событий с правилами корреляции;
    • logmule_go_modules – управление макросами. Макросы - это подключаемые общие модули к правилам корреляции, которые могут содержать как и переменные, так и расширять функционал с помощью функций;
    • logmule_go_results – управление результатами "сработок" правил корреляции. Результатом работы коррелятора является  так называемая "сработка" правила корреляции, на основании которой может быть создан инцидент и проведен анализ;
    • logmule_go_templates_alert – управление шаблонами алертов. Алерты являются частью правила корреляции и отвечают за поведение платформы при "сработке" привила;
    • logmule_go_templates_grouper – управление шаблонами группировки, которые используются в правилах корреляции. Группировка выполняется по выбранному полю нормализованного события;
    • value_stores – управление табличными списками. Табличные списки (Rapid Value Store), являются видом активного хранилища -- автоматически изменяемого, в зависимости от условий.

  • Обработка событий:

    • mappings – управление полями события (таксономии), используемых в процессах разбора и нормализации.

  • Рабочие столы:

    • dashboards – управление интерактивными информационными панелями, которые отображают данные о состоянии информационной безопасности.