Перейти к содержанию

4.3.0 март 2026

Работа с активами

  • Добавлен новый механизм обогащения Актив, который позволяет добавлять в события информацию об активах.
  • Добавлен механизм регистрации активов с потока событий.
  • Добавлен механизм фонового объединения дубликатов активов.
  • Добавлена информация об использовании DHCP в сегменте IP-адреса.
  • Добавлена возможность обогащения DNS по табличным спискам.

Корреляция

  • Добавлены ключевые поля событий правил корреляции.
  • Добавлена новая сущность Белые списки, позволяющая исключить определенные данные при работе правила корреляции.
  • Объединены интерфейсы тестирования и кода правил/конструктора условий.

Инциденты

  • Добавлена возможность создания белого списка на основе происшествия, обнаруженного в инциденте.
  • Добавлена возможность добавления исключений в белый список на основе происшествий.

Правила разбора

  • Повышено удобство управления составом правила разбора:
    • Drag'n'Drop приоритезация этапов фильтрации и разбора;
    • добавлена функция приоритетного добавления методов фильтрации и разбора.
  • Добавлена цветовая индикация использования полей разбора в нормализации.
  • Расширены функции нормализации событий:
    • добавлена возможность массового применения функций нормализации;
    • добавлена возможность быстрого создания/редактирования записи нормализации на основе значения таблицы разбора.

Просмотр событий

  • Добавлена возможность быстрой фильтрации данных на основе значений колонок таблицы событий.
  • Дополнен режим работы с типом событий "Событие не разобрано".

Агент сбора

  • Повышена производительность и стабильность работы компонента.
  • Обновлены процедуры установки/обновления компонента на платформе Windows.

Интерфейс системы

  • Добавлена возможность группировать фильтры с помощью логических операторов для данных универсальной таблицы.
  • Добавлена возможность быстрой фильтрации данных на основе значений колонок универсальной таблицы.
  • Добавлена возможность сохранения и возврата к предыдущей странице одним действием по кнопке "Сохранить и выйти".

Обновление контента

  • Дополнена логика применения обновления контента, учитывающая значимые изменения, сделанные оператором.
  • Актуализирован пакет экспертизы.
  • Дополнена документация для источника 2671 Linux.
  • Дополнена нормализация источника 2671 Linux, включающая:
    • Redos;
    • UFW;
    • firewalld;
    • iptables.
  • Изменена логика работы Linux правил, использующих SYSCALL и EXECVE/PROCTITLE типы событий для сработки. Теперь для сработки необходимы оба типа событий.
  • Дополнена нормализация для UFW, CISCO FTD, Linux, VipNET IDS.
  • Повышена точность правил корреляции, ранее использующих функцию поиска подстроки.