Версия v24.10

В версии v24.10 добавлена страница «Обзор», массовые изменения политик защиты, выключение правил маршрутизации, групповые именованные списки.
Расширена функциональность контрмер WL, WL6, GEO, ACL, ACLI, FACL, LACL, FRB, RETR, SLOB, а также Инцидентов, PCAP, Logan, Collector и Active Sync. Внесены множественные изменения в UX.

Изменения версии v24.10

Мониторинг. Добавлена страница Обзор.

В раздел главного меню «Мониторинг» добавлена страница «Обзор». Страница внешне похожа на «Анализ Flow», и позволяет настроить одновременное отображение данных из различных разделов web-интерфейса, сведенных в один или несколько дашбордов. Каждый дашборд задается на отдельной вкладке. Название вкладки может быть изменено, чтобы отражать состав отображаемых данных. Для каждой вкладки может быть задано произвольное количество виджетов с данными, определен их размер и положение на экране. Переключение между вкладками позволяет быстро переключаться между несколькими наборами виджетов для решения различных задач.

Большинство виджетов – это области графиков из различных разделов web-интерфейса. Для удобства добавления виджеты разбиты на смысловые категории.

Также на страницу можно добавить виджеты журнала событий, списка инцидентов и индикацию превышений порогов как по всем политикам, так и только по выбранным.

Policy. Добавлено массовое изменений политик защиты.

Теперь на стринице списка политик защиты можно единовременно применить одинаковое действие сразу к нескольким выбранным политикам защиты. На данный момент поддерживаются действия включения и отключения отдельных контрмер, а также добавление порогов автодетектирования.

Policy. Добавлена информация об использовании оперативной памяти политикой.

Теперь в настройках политики защиты можно выгрузить csv-файл с информацией о потреблении оперативной памяти.

Аналогичную информацию можно также получить на странице «Состояние системы» на вкладке «Ресурсы».

Routing Rules. Добавлено отключение правил маршрутизации.

Теперь в режиме редактирования можно отключить правило маршрутизации, не удаляя его.

WL. Добавлена возможность пропускать трафик на dst IP.

Теперь WL в общей защите и политике может пропускать без обработки последующими контрмерами не только трафик с указанных src IP, но и на указанные dst IP.

Белый список получателей поддерживает:

  • префиксы;
  • IP-адреса;
  • номера автономных систем;
  • доменные имена;
  • именованные списки;
  • поконтрмерный bypass.

WL6. Добавлена возможность пропускать трафик на dst IP.
ACL. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.

Теперь префиксы отправителей и получателей в правилах ACL можно указывать диапазонами. Например:

DROP src (175.180.90.0-175.180.90.21)

ACLI. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.
LACL. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.
FRB. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.
RETR. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.
PCAP. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.
SLOB. Добавлен пропуск трафика неизвестных соединений.

Теперь можно активировать режим работы, при котором пакеты соединений, которые контрмера ранее не видела, пропускаются сразу на выход контрмеры без проверки.

GEO. Добавлено действие блокировки отправителей по GEO-признаку.

Добавлено действие «Блокировать», позволяющее отправлять в TBL IP-адреса из определенных стран или автономных систем.

LOGAN. Добавлена возможность указания нескольких правил с одинаковой метрикой.

Теперь в Logan можно задать несколько правил с request, referer и user-agent. Это позволяет применять разную логику блокировок или уведомлений в зависимости от содержимого заголовков запросов.

Пример:

block 600 request ^ST|^T
block 1000 request /ajax/sendSmsCodeToUser/ limit 8 period 10

Также стало возможным указание одной и той же метрики с разными действиями:

alert src.rps limit 10 period 10
block 300 src.rps limit 100 period 10

Следует учитывать, что запрет на указание одинаковых метрик с одним и тем же действием сохраняется. Если в политике обрабатываются логи с несколькими токенами, и для разных токенов требуется задать различные пороги срабатывания, то во всех правилах с повторяющейся метрикой должна быть указана принадлежность конкретному токену.

То есть вместо:

token sometoken
token 2.2.2.2
alert src.rps limit 100 period 300 for sometoken
alert src.rps limit 100 period 200

следует указывать:

token sometoken
token 2.2.2.2
alert src.rps limit 100 period 300 for sometoken
alert src.rps limit 100 period 200 for 2.2.2.2
LOGAN. Добавлено журналирование причины срабатывания alert.

Теперь в поле custom журнала событий и в syslog сообщениях указывается сработавшее правило.

IPList. Добавлена возможность создания и управления именованными списками в группе.

Теперь на странице «Группа» в пункте подменю «Именованные списки IP-адресов» групповые пользователи могут создавать именованные списки IP-адресов и самостоятельно управлять их содержимым.

Active Sync. Добавлен выбор контрмер для синхронизации.

Теперь в настройках активной синхронизации можно указать, данные каких контрмер следует синхронизировать между обработчиками пакетов.

Collector. Изменен выбор точки сбора в Анализе Flow.

Теперь на вкладке «Дашборд» страницы «Анализ Flow» и на вкладку «Анализ Flow» в политике защиты точка сбора flow выбирается при добавлении конкретного виджета, а не влияет на весь дашборд.

Collector. Добавлена возможность задания лицензионного ключа и полосы для Collector через web-интерфейс.

Начиная с версии v24.10 Collector требует указания лицензионного ключа и используемой полосы, а также наличия постоянной связности с сервером лицензирования.

Collector. Добавлено взаимодействие с источниками flow по SNMPv3.
Collector. Добавлена фильтрация по TCP-флагам.

Теперь в фильтре Дашборда на странице «Анализ Flow» и на вкладке «Анализ Flow» в политике защиты можно указывать TCP-флаги с помощью ключевого слова tcp-flags. Значения флагов задаются аналогично контрмере ACL.

Incidents. Добавлена сводка из журнала причин блокировок TLS.

Теперь, аналогично сводке по IP-адресам, занесенным в TBL, в информации об инциденте отображается статистика по причинам блокировки контрмерами ATLS и DTLS. Те же изменения внесены и в экспортируемый отчет по инциденту.

UX. Визуальные настройки web-интерфейса вынесены на отдельную вкладку.

Теперь управление темой оформления, заливкой графиков и расположением контента осуществляется на отдельной вкладке «Внешний вид» в настройках профиля пользователя.

UX. Добавлена настройка выравнивания контента.

Теперь можно настраивать расположение карточек на странице, по центру экрана или со смещением к главному меню.

UX. Добавлена системная тема.

Системная тема теперь выбрана по умолчанию. В зависимости от предпочитаемого цветового оформления в ОС будет автоматически выбираться подходящая тема оформления.

UX. Изменено главное меню в свернутом состоянии.

Теперь если главное меню свернуто, оно раскрывается при наведении курсора.

UX. Изменена страница «Группы».

Теперь разделы страницы «Группы» вынесены в подменю.

UX. Добавлена иконка наполнения из TBL для именованного списка с типом «Ввод».

Теперь, если именованный список имеет тип «Ввод» и наполняется из TBL, то помечается соответствующей иконкой.

UX. Добавлено отображение группы в настройках политики.

Теперь в настройках политики защиты отображается название группы, к которой относится данная политика.