О версии 2.4

Технические особенности

Информация в данном разделе поможет предотвратить возможные ошибки при обновлении и эксплуатации продукта.

Особенности обновления

После обновления системы с версии ниже 2.4.0 тип существующих точек входа HTTP Client изменится на HTTP Client_deprecated в связи с их функциональными обновлениями.

Для обновления точек входа HTTP Client потребуется выполнить ряд ручных действий. Подробности приведены в разделе Обновление системы.

Новые возможности

Универсальная модель события 2.0

Представлена универсальная модель события 2.0, которая содержит расширенный набор полей по сравнению с существующей универсальной моделью.

UniversalEventModel2

Определение источников по маске

DefaultMaskPolicy

Расширены возможности политик аудита источников. Теперь источники данных можно определять не только по точкам входа, но и по специальным маскам.

Маска представляет собой набор полей события, который идентифицирует источники данных. Это позволяет отслеживать группы источников без привязки к точкам входа и конвейерам.

Полный список источников, обнаруженных с помощью масок, можно посмотреть на вкладке Список источников раздела Инструменты → Аудит источников.

Избранные события

В разделе Поиск появилась возможность добавлять найденные события в Избранное. Это позволяет собирать все артефакты для расследования в одном месте.

FavoriteEvents

Визуализация статистики поиска

Появилась возможность визуализировать статистику из раздела Поиск в виде виджетов. Виджеты создаются с помощью специальной кнопки на вкладке Статистика.

SearchStatisticsVisualisation

Переменные в виджетах

Добавлена возможность использовать переменные для управления отображением данных на виджетах в дашбордах и отчетах.

Чтобы использовать переменные в RQL-запросе виджета, необходимо указывать их с помощью шаблона Handlebars.

Переменные могут хранить значения следующих типов:

строка;
число;
дата;
логическое значение.

WidgetVariables

Интервалы вывода данных в виджетах

Добавлена возможность задавать начальную и конечную даты для отображения данных в виджетах.

DateStartDateEnd

Аудит записей активных списков

AuditActions

Добавлена возможность настраивать отслеживание операций над записями активных списков с генерацией соответствующих событий в хранилище событий аудита.

Аудит записей можно настроить:

в окне создания активного списка;
в окне редактирования активного списка;
на экране просмотра записей активного списка.

Смена модели событий в хранилище

Добавлена возможность изменить выбранную модель события в существующем хранилище событий.

SwitchModel

Активное реагирование на агенте

ActionOnAgents

В менеджере агентов добавлена возможность выполнять специальные действия на агентах.

Доступные действия:

Действия выполняются из раздела Агенты → Агенты.

Улучшения и доработки

Модели событий

Enum в модели события: изменен способ задания списка значений в Enum-перечислении. Теперь каждое значение указывается в паре с ключом.
Поддержка миллисекунд: в модель события добавлен тип DateTime64, который позволяет хранить значения даты и времени с учетом миллисекунд.

Коллекторы и конвейеры

Логирование: реализован механизм heartbeat для точек входа. Если в источнике отсутствуют события, в логах отображается сообщение о его неактивности.
Получение данных по HTTP API с пагинацией: для точки входа HTTP Client добавлена поддержка получения данных с пагинацией. Чтобы использовать пагинацию, следует настроить поля идентификаторов в параметрах точки входа.
IP-адрес в нормализаторе: добавлена возможность преобразования IP-адреса в формате IPv6 в IPv4 с помощью функции rv_ipv6_to_ipv4.

Интеграция с SOAR

Поля типа JSON: в настройки интеграции добавлена возможность задавать поля типа JSON.
Новые возможности Handlebars: теперь при настройке интеграции в шаблонах Handlebars можно передавать как форматированные, так и неформатированные JSON-строки.

Драйверы БД

Размер файла драйвера: добавлена возможность изменять максимальный допустимый размер файла драйвера БД.

Пользовательский интерфейс и опыт

Поиск дашбордов: при выборе нужного дашборда из списка добавлена возможность его быстрого поиска.
Множественный выбор в фильтре оповещений: для полей Статус и Уровень угрозы на панели фильтрации оповещений добавлена возможность выбирать несколько вариантов.
Выбор времени в конструкторе правил корреляции: добавлена возможность выбирать поля с типом DateTime64 при настройке условия типа Сравнение полей.
Настройка формата времени: для событий появилась возможность изменить формат даты и времени с отображением миллисекунд в настройках интерфейса.
Расширение меню столбцов: реализовано расширенное контекстное меню действий для столбцов в таблицах всех разделов.

Исправление проблем

Устранена проблема, при которой попытка выделения текста в таблицах приводила к открытию карточки элемента.
Исправления в версии 2.4.1:
- Исправлена проблема, при которой попытка одновременной работы в системе под одним и тем же пользователем в разных браузерах или разных вкладках одного браузера приводила к выходу из системы.
- Исправлена проблема, при которой не удавалось выполнить запрос в разделе Поиск, если пользователь не был суперадминистратором.
- Исправлена проблема, при которой после установки системы с нуля события аудита регистрировались с некорректными временными метками.
- Исправлена проблема, при которой группировка уникальных значений в правилах корреляции выполнялась некорректно.
Исправления в версии 2.4.2:
- Исправлена проблема, при которой не формировался список источников после установки конфигурации конвейера.
- Исправлена проблема, при которой не удавалось импортировать конвейеры, содержащие нормализаторы из версий SIEM ниже 2.4.0.
- Исправлена проблема, при которой игнорировался установленный лимит записей в активных списках.