О версии 2.5
Технические особенности
Информация в данном разделе поможет предотвратить возможные ошибки при обновлении и эксплуатации продукта.
Особенности обновления
Начиная с версии 2.5.0 система совместима с ClickHouse 24.8. При обновлении системы с версии ниже 2.5.0 обновите ClickHouse до версии 24.8.
Новые возможности
Динамические поля событий
В моделях событий теперь поддерживаются поля, содержащие структурированные данные типа JSON. В RQL-запросах можно обращаться как к полю целиком, так и вложенным объектам, массивам и полям. Просмотреть все JSON-поля в событии можно на вкладке Данные JSON в его карточке.
Подсветка полей при сравнении событий
В разделе Поиск появилась возможность задавать подсветку полей при сравнении событий. Для этого нужно выбрать эталонное событие. Отличия в полях эталонного и сравниваемого событий будут подсвечиваться.
Быстрое создание виджетов из поиска
Появилась возможность быстро создавать виджеты на основе найденных данных из раздела Поиск. Виджеты создаются с помощью специальной кнопки на панели инструментов раздела.
Оценка покрытия MITRE ATT&CK
В инструменты добавлен раздел Покрытие MITRE ATT&CK, где отображается, какие техники и сабтехники MITRE ATT&CK обнаруживаются правилами корреляции в системе.
Сбор событий из файлов
Добавлены точки входа FTP и SMB, предназначенные для мониторинга изменений файлов на удаленных ресурсах и активного сбора соответствующих событий. Сбор данных осуществляется с помощью одноименных сетевых протоколов:
-
FTP — для передачи неконфиденциальной информации в незашифрованном виде.
-
SMB — для организации совместного доступа к файлам и принтерам в локальных сетях.
Отправка событий в ClickHouse
Добавлена конечная точка ClickHouse для отправки событий во внешнюю базу данных.
Настройки позволяют выбрать формат представления данных и преобразование событий для сериализации.
Улучшения и доработки
Модели событий
-
Универсальная модель событий: в поле
actionмодели 2.0 добавлено возможное значениеget.
Поиск
-
Визуализация статистики: расширен набор диаграмм для виджетов на основе статистики из раздела Поиск.
Экспертиза
-
Массовое обновление правил: добавлена возможность обновлять версии сразу у нескольких правил экспертизы на конвейерах.
Пользовательский интерфейс и опыт
-
Доработка избранных событий: избранные события теперь отображаются для каждого хранилища отдельно. Также добавлена возможность просматривать избранные события в таблице раздела Поиск.
-
Улучшение работы с событием: в карточку события добавлены поиск по полям и возможность закреплять поля.
Исправление проблем
-
Исправлена проблема, при которой сервис оповещений можно было добавить на конвейер в сателлите.
-
Исправлена проблема, при которой не удавалось установить конфигурацию конвейера с конечной точкой, использующей хранилище событий на базе универсальной модели 2.0.
-
Исправления в версии 2.5.1:
-
Исправлена проблема, при которой в коллекторах могли долго обрабатываться активные списки.
-
Исправлена проблема, при которой точки входа Database, HTTP Client, FTP и SMB повторно считывали все события после перезапуска коллектора.
-
-
Исправления в версии 2.5.2:
-
Исправлена проблема, при которой данные активных списков не записывались в базу данных, если они были созданы не в основном тенанте.
-
Исправлена проблема, при которой не удавалось проверить соединение в интеграции с почтовым сервером SMTP.
-
Исправлена ошибка, возникавшая при попытке создать шлюз с TLS-шифрованием.
-
Была ли полезна эта страница?
