4.1.0 май 2025

Основные изменения:

• Механизм управления интеграциями;
• Интеграция с системой RT Protect EDR;
• Лог-коллектор. Агенты и профили сбора;
• Коррелятор. Папки контента;
• Коррелятор. Цепочка событий;
• Шаблоны контента;
• Универсальные таблицы. Сортировка;
• Экспорт событий.

Механизм управления интеграциями

В Платформе Радар реализован механизм централизованного управления интеграциями с внешними системами.

Различные классы систем, с которым можно настроить интеграцию, называются в платформе Типами интеграций. Для каждого типа интеграции может быть одновременно настроено несколько экземпляров интеграции.

Механизм предоставляет следующие возможности:

• создание экземпляров интеграции для различных систем;
• управление задачами и командами интеграций;
• просмотр журнала выполнения задач и команд интеграций.

Общие приемы управления интеграциями описаны в следующих разделах:

• Интеграции;
• Типы интеграций.

Интеграция с системой RT Protect EDR

В Платформе Радар добавлена поддержка интеграции с системой RT Protect Endpoint Detection and Response (сокращенно – RT Protect EDR) от компании АО «РТ-Информационная безопасность» — организация прямого управления Государственной корпорации «Ростех».

Возможности, предоставляемые интеграцией:

• выполнение активных действий на активах;
• автоматическое выполнение действий на активах при "сработке" правила корреляции;
• импорт активов из RT Protect EDR в Платформу Радар;
• синхронизация инцидентов.

Настройка интеграции с системой RT Protect EDR приведена в разделе Настройка интеграции с RT Protect EDR.

Описание изменения интерфейса Платформы Радар, для обеспечения взаимодействия с системой RT Protect EDR, приведено в разделе Работа с интеграцией RT Protect EDR.

Подробнее о системе RT Protect EDR можно узнать на сайте производителя: РТ-Информационная безопасность.

Лог-коллектор. Агенты и профили сбора

В Платформе Радар изменился порядок настройки лог-коллектора.

Теперь настройка лог-коллектора заключается в конфигурировании Агентов сбора и Профилей сбора под особенности инфраструктуры организации.

Агент сбора – это компонент лог-коллектора, отвечающий за сбор событий от источников. Агент сбора создается автоматически при назначении узлу кластера соответствующей роли:

• agent – на узле будет установлена версия агента сбора для OC Linux;
• agent win – на узле будет установлена версия агента сбора для OC Windows.

Профиль сбора – это набор настроек, отвечающий за параметры сбора событий ИБ с конкретных источников. Для одного агента сбора может быть настроено произвольное количество профилей сбора. Необходимое количество профилей сбора определяется количеством источников, с которых будет осуществляться сбор.

Управление конфигурационным файлом лог-коллектора (config.yaml) будет более недоступно из интерфейса платформы.

Процедура обновления:

1. Сделайте резервную копию конфигурационного файла лог-коллектора (config.yaml).
2. Обновите платформу до версии 4.1.0.
3. Обновите экземпляры лог-коллектора для ОС Windows и Linux.
4. Перейдите в раздел Источники → Агенты сбора и удостоверьтесь что все параметры конфигурационного файла лог-коллектора были корректно конвертированы в агенты и профили сбора.

Дополнительные возможности при настройке лог-коллектора:

• просмотр статистики полученных событий по всем профилям сбора на выбранном агенте;
• просмотр статистики работы профиля сбора;
• импорт/экспорт профилей сбора;
• использование шаблонов для быстрой настройки профилей сбора;
• просмотр используемых профилей сбора по выбранным источникам.

Подробнее об агентах и профилях сбора см. раздел Настройка лог-коллектора.

Коррелятор. Папки контента

Реализована возможность настройки структуры папок для каталогизации и хранения правил корреляции.

Для этого реализован механизм управления папками контента, который предоставляет следующие возможности:

• создание папок до нужной глубины вложенности;
• создание правила корреляции в выбранной папке;
• массовый перенос правил корреляций в выбранную папку;
• возможность просмотра папок в одном из режимов: каскадном или обычном;
• просмотр количества правил корреляций, содержащихся в папках структуры на всю глубину вложения.

Управление папками контента выполняется в новом разделе Папки контента.

Просмотр содержимого папок выполняется через боковую панель раздела Коррелятор → Правила корреляции.

Коррелятор. Цепочка событий

Добавлена возможность отслеживания и группировки подозрительных событий, следующих одно за другим (цепочки событий).

Реализован интерфейс для редактирования параметров выявления цепочки событий. Интерфейс доступен в конструкторе правила корреляции и в шаблонах группировки.

Шаблоны контента

Реализован механизм использования шаблонов для упрощения создания/редактирования пользовательского контента.

Шаблон будет определять структуру данных, внешний вид и поведение форм при создании/редактировании пользовательского контента.

Механизм предоставляет следующие возможности:

• сохранение пользовательского контента как шаблон;
• создание/редактирование пользовательского контента на основе ранее разработанного шаблона.

Централизованное управление шаблонами выполняется в разделе Шаблоны.

На данный момент поддерживаются шаблоны для следующих типов пользовательского контента:

• Профили сбора.

Универсальные таблицы. Сортировка

Добавлена возможность быстрой сортировки содержимого таблицы по клику на заголовок столбца.

Экспорт событий

В раздел События добавлена возможность экспорта событий в CSV-файлы.

Поддерживается экспорт на всю глубину фильтрации.

Разное

• Интеграция с Kaspersky Security Center – управление интеграцией теперь выполняется через централизованный механизм управления интеграциями.
• Интерфейс. Табличное представление – для всех разделов интерфейса с пользовательским контентом теперь доступно табличное представление.
• Универсальные таблицы. Экспорт в CSV – добавлена возможность экспорта в CSV-файлы. Экспорт работает по выбранным элементам и только для отображаемых колонок таблицы.

Изменения в API

Добавлены следующие ресурсы:

• Интеграции:

  • integration_types – управление типами интеграций;
  • integrations – управление экземплярами интеграций;
  • integration_schedulers – управление задачами по расписанию;
  • integration_actions – управление активными действиями интеграции;
  • integration_actions_logs – получение журнала выполнения активных действий;
  • service_asset_integrations – управление активами, посредством интеграции;
  • logmule_go_rules_integration_actions – управление активными действиями интеграции в правилах корреляции.

• Папки контента:

  • content_folders – управление папками контента;

• Сканер активов (ресурс sonar):

  • ksc-log – получение текста KSC-лога;
  • devices – управление хостами;
  • services – обнаружение сервисов;
  • hardware – сканирование аппаратного обеспечения;
  • software – сканирование программного обеспечения.

Добавлены следующие методы:

• /<ресурс>/mass_update – массовое изменение значения одного поля у нескольких элементов. Например, массовое изменение состояния.