Что нового

<< Кликните, чтобы показать Содержание >>

Руководство Администратора | CHM EPUB PDF A4/Letter   

Что нового

Что нового в версии 6.1 по сравнению с версией 6.0

Среда выполнения:

Windows Server 2012, Windows Server 2016, Windows Server 2019.

Источники данных и реконструкция объектов:

Обработка PCAP-файлов:

[+] Добавлена возможность детектирования и обработки протоколов с помощью Lua-парсеров. Теперь обработка новых протоколов уровня приложения полностью задаётся в конфигурации EtherSensor.

[+] В качестве примеров добавлены следующие парсеры протоколов на Lua:

   - TCP: MySQL, Postgres, MSSQL (TDS), Oracle

   - UDP: DNS

   - IP:  ICMP.

[+] Добавлена возможность записи трафика в PCAP-файлы. Записанный трафик имеет все метаданные, полученные в процессе обработки сессии:

   - Тип протокола: атрибуты NDPI, атрибуты EtherSensor

   - Трафик привязан к пользователю.

Анализ перехваченных объектов:

[+] Детекторы Lua стали событийно-ориентированными. В настройках детектора можно указать в поле Settings.EventFilter, какой именно тип событий обрабатывает данный детектор.

  Например: EventFilter = "raw/mysql" или EventFilter = "raw/xmpp".

[+] Реализованы следующие Lua-скрипты для этапа детектирования событий:

   - Мессенджеры:

     - l2-xmpp.lua

     - l2-slack.com.lua

     - l2-websocket-slack.lua

   - Операции с файлами:

     - l2-ftp.lua

   - Детекторы событий обмена между клиентом и сервером СУБД:

     - l2-mysql.lua

     - l2-mstds.lua

     - l2-postgres.lua

     - l2-oracle.lua

   - Обработка PCAP-файлов:

     - l2-pcap.lua

   - Обработка SIP-запросов:

     - l2-sip.lua

   - Обработка DNS-запросов:

     - l2-dns.lua

   - Обработка ICMP-событий:

     - l2-icmp.lua.

Доставка результатов анализа системам-потребителям:

[+] Добавлена интеграция с аналитической платформой Dataplan (Angara).

[+] Обновлён модуль libcurl.dll до версии 7.73.0.0.

[+] Обновлён модуль libssh2.dll до версии 1.9.0.0.

Консоль управления:

[+] Настройка перехвата трафика и обработки PCAP-файлов стала более детальной:

   - Настройка встроенных парсеров

   - Настройка Lua-парсеров

   - Настройка записи трафика в PCAP-файлы.

[+] Фильтры пакетов теперь используют синтаксис фильтров tcpdump и библиотеки libpcap для генерации BPF (Berkeley Packet Filters).

   ВНИМАНИЕ:

   В версии 6.1 изменился формат пакетных фильтров. Если вы используете пакетные фильтры, их следует преобразовать в новый формат (tcpdump/libpcap) в ручном режиме. Старые фильтры сохранены в каталоге \backup\DD.MM.YYYY\config.

[+] Lua-детекторы группируются по типам обрабатываемых событий.