О версии 2.6

Технические особенности

Информация в данном разделе поможет предотвратить возможные ошибки при обновлении и эксплуатации продукта.

Особенности обновления

При обновлении системы до версии 2.6.0 необходимо выполнить ряд ручных действий. Подробности приведены в разделе Обновление системы.

Перевод правил корреляции в декларативный формат

В ближайших версиях продукта из функционала будут убраны императивные правила. Рекомендуется перевести все правила корреляции в декларативный формат. Подробности о данном формате приведены в разделе Декларативные правила.

Новые возможности

Обновление метрик лицензии

В разделе Настройки → Лицензия обновлен набор метрик. Теперь ограничение лицензии происходит по следующим метрикам:

EPS в точках входа — ограничение по среднему количеству событий в секунду (EPS) в точках входа коллекторов.
Входной EPS корреляторов — ограничение EPS на входах корреляторов.

LicenseUpdate1

Также обновлены графики в карточках коллекторов на вкладке Информация.

LicenseUpdate2

Отключение аудита для точек входа

AuditOffForEntryPoints

При добавлении или изменении точек входа появилась возможность отключить аудит источников. При отключенном аудите к элементам конвейера не применяются политики аудита источников.

Если для источника включен аудит, но выключена выбранная политика аудита, то источник принимает статус Не определяется в разделе Инструменты → Аудит источников.

Методы расчета в политиках

CalculationMethods

В политиках аудита источников типа По маске добавлены способы вычисления потока событий для срабатывания политики:

По количеству событий — условие нарушения политики определяется количеством событий, поступивших за определенный период времени.
По среднему EPS — условие нарушения политики определяется отклонением от среднего количества событий в секунду (EPS), поступивших за определенный период времени.

Для более гибкой настройки работы политики добавлена возможность задавать не только нижний, но и верхний порог ее срабатывания.

Поиск по нескольким хранилищам

MultipleStorageSearch

В разделе Поиск добавлена возможность искать события сразу по нескольким хранилищам.

Чтобы включить поиск по нескольким хранилищам, пересоздайте таблицы хранилищ. Подробности приведены в разделе Обновление системы.

Массовое обновление правил

Добавлена возможность массово обновлять правила агрегации, сегментации, корреляции и нормализации. Для этого в окне редактирования соответствующих элементов конвейера добавлена кнопка обновления всех добавленных правил.

RulesUpdate

Виджеты с картами

В разделе Дашборды для виджетов событий и активных списков добавлены типы диаграмм:

Карта с группировкой — позволяет отобразить данные в виде кластеров, объединяющих точки с близкими координатами. Кластеры разбиваются на отдельные точки при приближении.
Карта стран мира — позволяет отобразить данные, сгруппированные по странам.

Фильтрация по полям JSON в поиске

События в разделе Поиск теперь можно фильтровать по полям типа JSON и вложенным полям объекта, кроме массивов. При фильтрации по вложенному полю JSON можно использовать операторы: =, !=, LIKE.

В RQL-запросе теперь также можно использовать функции преобразования типов, чтобы привести вложенные поля к нужному типу.

JSONFieldsFilter

Панель групп при поиске

В разделе Поиск добавлено отображение панели групп, если в поисковом запросе использовался оператор GROUP BY. Панель отображается слева от результатов поиска и содержит группы, в которые объединены результаты поиска.

GroupsPanel

Конечная точка R-Vision TIP

TIP

Добавлена конечная точка R-Vision TIP, предназначенная для передачи событий в систему R-Vision TIP с целью извлечения индикаторов компрометации из значений полей событий.

Переменные в конструкторе

В разделе Экспертиза в конструкторе правил корреляции добавлена вкладка Переменные, которая позволяет задавать VRL-выражения и сохранять результаты их вычислений в специальные переменные.

Данные переменные можно использовать в различных разделах конструктора.

VariablesInCorrelatorBuilder

Улучшения и доработки

Коллекторы и конвейеры

Импорт и экспорт с очисткой параметров: добавлена возможность экспортировать и импортировать коллекторы и конвейеры с пустыми значениями обязательных параметров.
Отдельный порт кластера: при настройке точек входа HTTP Server, Syslog, Vector, Socket, Logstash и Netflow появилась возможность указать отдельный порт для подключения к узлу кластера Kubernetes.

Модели событий

Поддержка универсальной модели 2.0: теперь можно обращаться к полям универсальной модели события 2.0:
- при работе с языком VRL;
- при создании политики аудита;
- при отправке RQL-запроса в разделе Поиск;
- в конструкторе правил корреляции.
Обновление модели в хранилищах: появилась возможность обновить модель в хранилище событий вручную, если модель была изменена на уровне СУБД или при переходе на более новую версию системы.

Пользовательский интерфейс и опыт

Быстрый старт: при развертывании системы автоматически создаются предустановленные сущности, демонстрирующие функциональные возможности продукта.
Сохранение персональных настроек: теперь в разделе Поиск для текущего пользователя сохраняются настройки таблицы результатов поиска, закрепленные поля в карточках и список избранных событий. Настройки сохраняются в рамках отдельного хранилища событий или активного списка.
Открытие элемента конвейера через ошибку: при нажатии на ошибку о незаполненных обязательных полях в элементе конвейера теперь открывается окно редактирования этого элемента. Незаполненные обязательные поля подсвечиваются.
Оптимизация полей в карточке события: поле raw теперь не отображается в общем списке полей события. Содержимое поля доступно только в блоке Исходное событие.

Изменения в версии 2.6.1

Графики EPS в коллекторе: теперь в карточке коллектора расположены графики, отображающие как текущие значения EPS за последние 30 минут, так и усредненные.
Фильтрация оповещений: добавлена возможность фильтрации списка оповещений по времени создания.
Поиск оповещений: добавлена возможность поиска оповещений по полям в карточке оповещения, в том числе по полям первого корреляционного события.

Изменения в версии 2.6.2

Точка входа SFTP: добавлен тип точки входа для активного сбора событий по протоколу SFTP.
Ограничение числа сообщений NATS: в точках входа Audit, NATS JetStream, Global Bus и R-Vision Endpoint добавлена возможность указывать максимальное количество сообщений NATS в очереди на обработку системой.
Статистика по полю только в базовом поиске: теперь просмотр статистики в разделе Поиск доступен только в режиме базового поиска по одному хранилищу событий или активному списку.
Повышение лимитов для активных списков: увеличены максимальные допустимые значения для полей capacity и ttl в схемах активных списков. Теперь активные списки могут хранить до 2 147 483 646 записей с временем жизни до 157 680 000 секунд (5 лет).
Отображение пустых значений: теперь значения типа null в полях событий отображаются в виде текста "null" в карточке события и в таблице раздела Поиск.

Исправление проблем

Исправлена проблема с низкой пропускной способностью NATS, из-за которой замедлялось получение данных с глобальной шины.
Исправления в версии 2.6.1:
- Исправлена проблема, при которой не удавалось создать конечную точку типа Внешняя система с корректным адресом подключения.
Исправления в версии 2.6.2:
- Исправлена проблема, при которой широта и долгота на картах с группировкой интерпретировались системой наоборот.
- Исправлена проблема, при которой не удавалось отправить события в форматах RAW_MESSAGE и TEXT через конечную точку Kafka.
- Исправлена проблема, при которой не работала доменная аутентификация в базе данных при использовании точки входа Database.

Была ли полезна эта страница?