Обновление MaxPatrol SIEM 19.1

Выпущена версия MaxPatrol SIEM 19.1.2605.

Важные особенности:

- Прежде чем приступать к обновлению PT MaxPatrol SIEM до версии 19.1, необходимо остановить сбор событий и выполнение задач сканирования активов. Это позволит избежать возможного накопления очередей во время обновления;

- Версия 19.1.2605 поддерживает обновление с версий 19.0.2382, 19.0.2325, 19.0.2301, 18.2.2258, 18.1.2164, 18.1.2086;

- Перед началом обновления PT MaxPatrol SIEM с помощью компонента PT UCS необходимо убедиться, что на серверах компонентов MP Core, MP SIEM Server и MP Agent с ОС Microsoft Windows установлен .NET Framework версии 4.7.1 или выше;

- Компоненты PT MaxPatrol SIEM необходимо обновлять в следующем порядке: MP Core → MP SIEM Events Storage → MP SIEM Server → MP Agent;

- Перед установкой или обновлением компонента MP Core необходимо разместить в одной папке инсталлятор MPXCoreSetup_19.1.exe и папку packages;

- В связи с реализацией механизма контроля потока событий при обновлении компонента MP Core необходимо ввести параметры учетной записи пользователя RabbitMQ и указать адрес хранилища событий. Подробное описание см. в разделах 4.1.4, 4.2.1 Руководства администратора;

- В связи с изменением структуры базы знаний Knowledge Base после обновления компонента MP Core запустится автоматическое обновление системной базы знаний, которое может занимать до шести часов. В течение этого промежутка времени компонент Knowledge Base будет недоступен;

- Если вы изначально развернули PT MaxPatrol SIEM в версии 18.0 или ниже, перед началом обновления компонента MP SIEM Events Storage необходимо переместить данные Elasticsearch. Подробное описание см. в разделе 4.2.3 Руководства администратора;

- После обновления PT MaxPatrol SIEM для продолжения работы с созданными вами табличными списками и правилами необходимо синхронизировать их с данными Knowledge Base.

Внимание! При синхронизации не переносятся пользовательские формулы нормализации, правила агрегации и локализации, а также созданные в пользовательской БД и не установленные в MP SIEM Server правила корреляции и активные списки.
Подробное описание см. в разделе 4.3 Руководства администратора;

- Начиная с версии 19.1 PT MaxPatrol SIEM может быть развернут на Debian 9.4.

Внимание! Обновление Debian с версии 8.6 на версию 9.4 (инструкцию см. на сайте debian.org) необходимо выполнять перед обновлением компонентов PT MaxPatrol SIEM. Перед началом обновления Debian необходимо на сервере компонента MP SIEM Server выполнить команду apt-mark hold mpxsiem, а после завершения обновления Debian и до начала обновления компонентов PT MaxPatrol SIEM — команду apt-mark unhold mpxsiem. Команды необходимо выполнять от имени суперпользователя (root).

Обзор новых возможностей версии представлен в документе «Обзор новых возможностей».

MaxPatrol Update

MaxPatrol new release 8.25.6 build 28928 is available on our servers and contains the following updates:

- Support for Apache HTTP Server versions 2.4 in Audit and Compliance mode according to the CIS - Apache HTTP Server 2.4 Benchmark v1.4.0;

- Support for ОС NetApp ONTAP versions 9.2 in Audit and Pentest mode;

- Support for Elasticsearch, Logstash, Kibana versions 5.х-6.х in Audit mode;

- Search for hosts into "check transports" and "Task parameters" section;

- Import of hosts into tasks and the "License hosts" section from a CSV file;

- Breaking reports into parts by the number of hosts exceeding 100;

- Generation of self-signed certificates valid for more than 5 years;

- Possibility for the uniform distribution of hosts by tasks in the "Import hosts from Active Directory";

- Cisco ASA CVE-2018-15465 vulnerability detection in Audit mode;

- Regular software database update:

• Apache Software Foundation
• BSD FreeBSD
• Cisco
• Debian
• Elastic
• Huawei
• IBM
• Microsoft
• NetApp
• Oracle
• Oracle Linux
• RedHat
• TmaxSoft

New vulners in version 28928: download PDF file.

Обновление MaxPatrol

MaxPatrol версии 8.25.6 сборка 28928 доступен на наших серверах и содержит следующие обновления:

- Поддержка сканирования Apache HTTP Server версий 2.4 в режиме Audit, Compliance в рамках стандарта CIS - Apache HTTP Server 2.4 Benchmark v1.4.0;

- Поддержка сканирования ОС NetApp ONTAP версии 9.2 в режиме Audit и Pentest;

- Обнаружение веб-сервисов Elasticsearch, Logstash, Kibana версий 5.х-6.х в режиме Audit;

- Возможность поиска узлов в разделе "Тестирование транспортов" и "Параметры задачи";

- Импорт узлов в задачи и раздел Узлы лицензии из CSV файла;

- Возможность разбиения отчета на части по числу узлов большему, чем 100;

- Возможность генерации самоподписанного сертификата на срок до 5 лет;

- Возможность равномерного распределения узлов по задачам в расписании "Импорт узлов из Active Directory";

- Обнаружение уязвимости Cisco ASA CVE-2018-15465 в режиме Audit;

- Плановое расширение базы уязвимостей ПО:

• Apache Software Foundation
• BSD FreeBSD
• Cisco
• Debian
• Elastic
• Huawei
• IBM
• Microsoft
• NetApp
• Oracle
• Oracle Linux
• RedHat
• TmaxSoft

Новые уязвимости в версии 28928: скачать PDF-файл.

PT TAD Release R1.7

What's new in version R1.7

- Logging user actions

To monitor the history of PT TAD user actions, you can now download logs of user actions for a specified period in the CSV format.

- PT TAD health monitoring

PT TAD now contains a set of SNMP trap rules, which allows you to monitor the product health using an SNMP manager. Among parameters available for monitoring are disk space and memory usage, CPU load, sensor statistical information (amount of captured traffic, triggered correlations, etc.).

- Sending scheduled statistical reports

You can now configure PT TAD to send statistical reports according to a specified schedule. You can limit report data to specific attacks by creating filters by attributes within scheduled report rules. You can send scheduled reports to your own email address or to external recipients (up to 10 email addresses).

- Sending notifications of detected attacks

You can now configure PT TAD to send notifications to your email address or a syslog server if the number of detected attacks reaches a specified threshold. For example, you can configure notifications to be sent if 10 or more attacks are detected during an hour. You can also create filters by attribute within notification rules to send notifications only of specific attacks (for example, of a specified type or from a specified country).

- New attack types

New signatures have been developed, which allows PT TAD to detect new types of attacks including those of Diameter Category 2 and Category 3. Obsolete signatures have been removed (for instance, those related to CL Request (suspicious), ForwardSM Aborted, and SAI Suspicious attacks).