changelog

Версия v25.10

В версии v25.10 добавлено: автодетектирование в общую защиту, OpenAPI-спецификация, новая контрмера MAIL.

Расширена функциональность контрмер VAL, DNS, ATLS, функций HCA и PCAP, а также Logan, WebC, Collector, TACACS.

Внесены улучшения в UX.

Изменения версии v25.10

Detect. Добавлено автодетектирование в общую защиту IPv4 и IPv6.

Теперь контрмеры общей защиты тоже могут управляться механизмом автодетектирования. Автодетектирование в общей защите сделано аналогично автодетектированию в политике. Доступны следующие предикаты:

  1. По трафику системы, для ext - внешняя сеть и int- внутренняя сеть, отслеживаются:
    • входящий трафик;
    • исходящий трафик;
    • сброшенный трафик.
  2. По трафику общей защиты отслеживаются:
    • входящий трафик;
    • исходящий трафик;
    • сброшенный трафик.
  3. По портам первого экземпляра (ID 1). Отслеживается входящий трафик.
  4. По сбросам других контрмер.

Подробнее во встроенной документации по автодетектированию.

Policy. Изменена работа с комментариями к политикам.

Теперь на странице списка политик комментарий к политике защиты раскрывается под строкой аналогично правилам маршрутизации. Нажатие на иконку в шапке страницы раскрывает комментарии во всех политиках, в которых они заданы.

Также добавлен фильтр по комментарию. При вводе значений автоматически раскрываются все комментарии, соответствующие фильтру.

Policy. Удален интервал объединения инцидентов.

Из настроек политики защиты удален параметр «Интервал объединения инцидентов». Теперь на завершение инцидента влияет только число анализируемых интервалов в параметрах автодетектирования.

При необходимости задать отдельное значение числа анализируемых интервалов для регистрации инцидентов пользуйтесь порогами:

  • Incidents.Timing.HistorySize;
  • Incidents.Timing.SeverityLimit.
PCAP. Переработан захват пакетов в общей защите.

Захват пакетов в общей защите IPv4 и IPv6 переработан. Теперь захват может выполняться на двух вкладках. На вкладке «Общая защита» захватывается трафик, обрабатываемый системой, то есть трафик IPv4/IPv6 протоколов, поступающий в общую защиту.

На вкладке «Весь трафик» захватывается весь трафик, поступающий в систему, включая трафик необрабатываемых L3-протоколов.

HPD. Добавлена возможность помечать трафик с IP-адресов без учета скорости.

Теперь в правилах HPD не обязательно указывать пороги. В этом случае трафик, соответствующий правилу, будет помечаться детектором вне зависимости от его скорости.

HPD. Добавлена возможность управлять логированием срабатываний HPD в журнале событий.

Добавлена настройка «Фиксировать срабатывания в журнале событий». Если флаг установлен, в журнале событий логируются срабатывания HPD, в противном случае записи в журнал событий не добавляются.

MAIL. Добавлена контрмера MAIL в политики защиты IPv4.

Контрмера проверяет содержимое TCP-сегментов, поступающих на указанные порты, на соответствие требованиям RFC для SMTP протокола.

VAL. Добавлена опция сброса некорректных NTP-пакетов.

Контрмера проверяет корректность NTP-пакетов, порты отправителя или получателя в которых соответствуют указанным.

ATLS. Добавлен график сегментированных «ClientHello».

Теперь в контрмере подсчитывается количество пакетов, содержащих неполное сообщение «ClientHello», и отображается в виде кривой «Segmented ClientHello» на вкладке «TLS».

DNS. Изменен учет запросов, на которые контрмера отвечает NXDOMAIN.

Ранее пакеты, на которые контрмера отвечала NXDOMAIN и сбрасывала, учитывались на общем графике сбросов. Теперь сброшенные пакеты учитываются на графике «DNS Allowlist Drop», а ответы на «DNS Back».

HCA. Добавлена фильтрация по JA3/JA4-отпечаткам.

В контрмеру добавлена опциональная проверка по спискам доверенных и подозрительных JA3/JA4-отпечатков.

Если отпечаток находится в списке доверенных, то клиент с таким отпечатком аутентифицируется, остальные проходят испытание. Если отпечаток находится в списке подозрительных, то клиент с таким отпечатком отправляется на прохождение испытания, остальные аутентифицируются.

По какому списку проверять задается радиокнопками.

HCA. Добавлена фильтрация по SNI.

В контрмеру добавлена опциональная проверка по Server Name Indication (SNI). При заданном фильтре на WebC направляется только трафик сессий, в «ClientHello» которых указан соответствующий фильтру SNI. Клиенты, приславшие «ClientHello» без SNI, либо не из списка, аутентифицируются.

LOGAN. Добавлена поддержка диапазонов значений status в фильтрах захвата и стриминга.

Теперь в фильтрах захвата и стриминга Logan можно указывать диапазоны значений кодов ответа.

WebC. Добавлена возможность указывать несколько адресов управления для одного проверяющего сервера.

Поддержан сценарий работы, когда несколько проверяющих серверов находятся за балансировщиком. Теперь можно указать несколько адресов управления в настройках проверяющего сервера, что позволяет задавать настройки для каждого из них.

Collector. Добавлены графики трафика на интерфейсе экспортера по данным из SNMP.

Теперь при наведении курсора на строку интерфейса в карточке «Источник Flow» появляется иконка графика. Нажатие на иконку открывает график по интерфейсу.

API. Добавлено описание REST API в виде OpenAPI-спецификации.

OpenAPI-спецификация доступна по ссылке во встроенной документации. Описание REST API в виде HTML-страницы сохранено.

TACACS+. Изменена логика работы в режиме «Аутентификация и авторизация».

Если через TACACS+ выполняется аутентификация и авторизация пользователя, то учетная запись будет создана в MITIGATOR при первой удачной авторизации. При последующих аутентификациях происходит проверка на соответствие учетным данным и на MITIGATOR, и на сервере TACACS+. Аутентификация выполняется только при успешном прохождении обеих проверок.

BGP. Изменено название переменной окружения для игнорирования состояния обработчика при анонсировании по bgp.

Переименована переменная окружения:

  • было: BACKEND_BGP_CLICK_STATE;
  • стало: BACKEND_BGP_DATAPLANE_STATE.
Overview. Добавлены виджеты по трафику на интерфейсах экспортера по данным из SNMP.

Добавлен виджет «Трафик на интерфейсе источника Flow». Выбранный интерфейс запоминается виджетом.

Анализ Flow. Добавлено сохранение фильтров в пресетах Анализа Flow.

Теперь при сохранении пресета для секции в Анализе Flow, сохраняются значения в фильтре секции.

UX. Добавлена индикация состояния HPD и CMON в поддерживаемых контрмерах.

Теперь в контрмерах с поддержкой функции «Мониторинг соединений» и «Адресная защита» отображается состояние этих функций. Если функция включена в политике, на ее бейдже в карточках и заголовках контрмер отображается синяя полоска, аналогично индикации работы контрмер на странице списка политик защиты.

UX. Добавлены тултипы для иконок на странице списка политик.

Теперь при наведении курсора на иконки в шапке списка политик появляется подсказка о том, по каким данным подсчитывается статистика.