О версии 2.5

Технические особенности

Информация в данном разделе поможет предотвратить возможные ошибки при обновлении и эксплуатации продукта.

Особенности обновления

Начиная с версии 2.5.0 система совместима с ClickHouse 24.8 и выше. При обновлении системы с версии ниже 2.5.0 обновите ClickHouse до версии не ниже 24.8.

Новые возможности

Динамические поля событий

В моделях событий теперь поддерживаются поля, содержащие структурированные данные типа JSON. В RQL-запросах можно обращаться как к полю целиком, так и вложенным объектам, массивам и полям. Просмотреть все JSON-поля в событии можно на вкладке Данные JSON в его карточке.

EventCard

Подсветка полей при сравнении событий

В разделе Поиск появилась возможность задавать подсветку полей при сравнении событий. Для этого нужно выбрать эталонное событие. Отличия в полях эталонного и сравниваемого событий будут подсвечиваться.

EventComparison

Быстрое создание виджетов из поиска

Появилась возможность быстро создавать виджеты на основе найденных данных из раздела Поиск. Виджеты создаются с помощью специальной кнопки на панели инструментов раздела.

WidgetFromSearch

Оценка покрытия MITRE ATT&CK

В инструменты добавлен раздел Покрытие MITRE ATT&CK, где отображается, какие техники и сабтехники MITRE ATT&CK обнаруживаются правилами корреляции в системе.

MITRE

Сбор событий из файлов

FTPEntryPoint

Добавлены точки входа FTP и SMB, предназначенные для мониторинга изменений файлов на удаленных ресурсах и активного сбора соответствующих событий. Сбор данных осуществляется с помощью одноименных сетевых протоколов:

FTP — для передачи неконфиденциальной информации в незашифрованном виде.
SMB — для организации совместного доступа к файлам и принтерам в локальных сетях.

Отправка событий в ClickHouse

ClickHouseDestinationPoint

Добавлена конечная точка ClickHouse для отправки событий во внешнюю базу данных.

Настройки позволяют выбрать формат представления данных и преобразование событий для сериализации.

Улучшения и доработки

Модели событий

Универсальная модель событий: в поле action модели 2.0 добавлено возможное значение get.

Поиск

Визуализация статистики: расширен набор диаграмм для виджетов на основе статистики из раздела Поиск.

Экспертиза

Массовое обновление правил: добавлена возможность обновлять версии сразу у нескольких правил экспертизы на конвейерах.

Пользовательский интерфейс и опыт

Доработка избранных событий: избранные события теперь отображаются для каждого хранилища отдельно. Также добавлена возможность просматривать избранные события в таблице раздела Поиск.
Улучшение работы с событием: в карточку события добавлены поиск по полям и возможность закреплять поля.

Исправление проблем

Исправлена проблема, при которой сервис оповещений можно было добавить на конвейер в сателлите.
Исправлена проблема, при которой не удавалось установить конфигурацию конвейера с конечной точкой, использующей хранилище событий на базе универсальной модели 2.0.