PT ISIM proView Sensor / netView Sensor / View Point  Update

New features, improvements and limitations in PT ISIM proView Sensor / netView Sensor / View Point version 2.3

1. New features

Node table 

You can now view nodes detected in a network as a table. The Topology page has been renamed Nodes and now has two display modes:

• Table: In this mode, the page displays nodes in tabular format.
• Diagram: In this mode, the page displays nodes, groups of nodes, and connections in graphical format, which corresponds to what was displayed on the Topology page in previous versions.
In tabular display mode, you can filter nodes by their basic parameters (state, type, manufacturer, IP address, MAC address), by activity time, and by the presence of attacks that are not closed. You can also sort nodes by the time of the most recent network activity. The basic node management operations (changing the name, authorization state, and type, adding a description, creating groups of nodes) are available both in the diagram and in the table. It is easier to change the state, type, and groups of multiple nodes in the table using multiple selection.

Instructions on how to manage nodes are provided in the PT ISIM proView Sensor / netView Sensor / View Point Operator Guide.

Rule base updates (PT ISIM proView Sensor / netView Sensor only)

Starting with version 2.3, you can update bases of traffic processing rules separately from the rest of the product. Updates can be received from the Positive Technologies update server (if there is a stable network connection) or on external media. You can install received update packages via the PT ISIM proView Sensor / netView Sensor web interface. For more information about rule base updates, see the PT ISIM proView Sensor / netView Sensor Administrator Guide.

2. Improvements

Frequency of partitioning in the statistical database

By default, the DBMS creates partitions for the metrics statistical database once every 24 hours. If the amount of statistical data is large, writing to the database can significantly load the disk system and therefore decrease the overall product performance. With the new version of PT ISIM netView Sensor, you can change the frequency of partitioning to decrease the size of partitions. For details, see the PT ISIM proView Sensor / netView Sensor / View Point Administrator Guide

Optimized web interface

The product web interface has been optimized. As a result, its performance has improved, and
some of its elements now look different 

3. Limitations of this version

PT ISIM proView Sensor / netView Sensor / View Point 2.3 has the following limitations: 

• When updating PT ISIM proView Sensor / netView Sensor / View Point to version 2.3, you need to reconfigure network interfaces. For instance, you need to add interfaces from which analyzed traffic is captured to the bond virtual interface. For this purpose, an interface setup window is displayed during installation.
• Statistical data (in reports and on the Statistics page) is not displayed for the DHCP, GOOSE, PROFINET, S7 (ISO), Vnet/IP, and ARP protocols.
• Statistical data (in reports and on the Statistics page) includes only the data (about events, nodes, connections, and incidents) detected in PT ISIM proView Sensor / netView Sensor / View Point 2.0 or later.
• After each PT ISIM proView Sensor / netView Sensor / View Point update, the Nodes page displays data in history mode only for the period following the update. Data for the period before the update is not retained.
• The node diagram is displayed without delay if there are up to 2,500 nodes or up to 5,000 connections.
• PT ISIM proView Sensor / netView Sensor / View Point does not support NTP time synchronization on the server. Setting the system time back (via NTP or manually) may cause the product to function incorrectly.
• Updating the product interrupts the process of traffic collection and analysis. We recommend installing updates when it is most acceptable to perform no monitoring of the network.

PT ISIM proView Sensor / netView Sensor only: 

• Updating PT ISIM proView Sensor / netView Sensor to version 2.3 is only possible starting with version 2.0 or later. To update the product of version 1.6 or 1.8, you can update it to version 2.0, 2.1, or 2.2, and then update it to version 2.3.
• If PT ISIM proView Sensor / netView Sensor is connected to PT ISIM Overview Center, you need to install the latest version of the ptisim-overview-updater integration package on PT ISIM proView Sensor / netView Sensor to update the product to version 2.3 via PT ISIM Overview Center. 

Обновление PT ISIM proView Sensor / netView Sensor / View Point

Новые возможности, улучшения и ограничения в PT ISIM proView Sensor / netView Sensor / View Point версии 2.3

1. Новые возможности

Таблица узлов

Добавлен новый способ представления обнаруженных в сети узлов: теперь вы можете просматривать их в виде таблицы. Раздел главного меню Топология переименован в Узлы и содержит теперь два пункта:

• Таблица. Страница отображает узлы в табличном виде.
• Схема. Страница отображает узлы, группы узлов и соединения в графическом виде — то, что в прошлых версиях отображалось на странице Топология.
В табличном способе представления вы можете фильтровать узлы по основным параметрам (статус, тип, производитель, IP-адрес, MAC-адрес), по времени активности и по наличию на них незакрытых атак, а также сортировать их по времени последней сетевой активности. Основные действия с узлами (изменение имени, статуса авторизации и типа, добавление описания, создание групп узлов) доступны как на схеме, так и в таблице. При этом с помощью множественного выбора в таблице удобнее менять статус, тип и группы сразу нескольких узлов.

Инструкции по работе с узлами приводятся в Руководстве оператора proView Sensor / netView Sensor / View Point.

Обновление базы правил (только для PT ISIM proView Sensor / netView Sensor)

Начиная с версии 2.3 вы можете обновлять базы правил обработки трафика отдельно от остального продукта. Обновления могут быть получены с сервера обновлений "Позитив Текнолоджиз" (при наличии стабильного сетевого подключения) или на внешнем носителе. Установка полученных пакетов обновлений доступна через веб-интерфейс PT ISIM proView Sensor / netView Sensor. Подробнее об обновлении базы правил см. Руководство администратора PT ISIM proView Sensor / netView Sensor.

2. Улучшения

Периодичность создания секций для базы статистических данных

Для базы статистических данных metrics в СУБД по умолчанию создаются секции раз в сутки. При большом количестве статистических данных операции записи в базу могут существенно нагружать дисковую систему, что приводит к замедлению работы всего продукта. В новой версии PT ISIM proView Sensor / netView Sensor / View Point вы можете изменить периодичность создания секций для уменьшения их объема. Подробнее см. Руководство администратора PT ISIM proView Sensor / netView Sensor / View Point.

Оптимизация веб-интерфейса

Оптимизирована работа веб-интерфейса: изменился внешний вид отдельных элементов, улучшена производительность.

3. Ограничения версий

PT ISIM proView Sensor / netView Sensor / View Point версии 2.3 имеет следующие ограничения:

• При обновлении PT ISIM proView Sensor / netView Sensor / View Point до версии 2.3 потребуется заново настроить сетевые интерфейсы, в том числе добавить интерфейсы, с которых перехватывается анализируемый трафик, в виртуальный интерфейс bond. Для этого в процессе установки отобразится окно настройки интерфейсов.
• Статистическая информация (в отчетах и на странице Статистика) не отображается для протоколов DHCP, GOOSE, PROFINET, S7 (ISO), Vnet/IP и ARP.
• Статистическая информация (в отчетах и на странице Статистика) включает в себя только данные (о событиях, узлах, соединениях, инцидентах), которые были обнаружены в PT ISIM proView Sensor / netView Sensor / View Point версий 2.0 и выше.
• После любого обновления PT ISIM proView Sensor / netView Sensor / View Point данные в режиме расследования на странице Узлы отображаются только за период с момента обновления; данные за период до обновления не сохраняются.
• Схема узлов отображается без задержек не более чем при 2500 узлов или 5000 соединений.
  PT ISIM proView Sensor / netView Sensor / View Point не поддерживает обновление времени на сервере по NTP. Перевод времени назад (по NTP или вручную) может привести к некорректной работе продукта.
• При обновлении продукта прерывается процесс сбора и анализа трафика. Рекомендуется выполнять обновление в период, когда отсутствие мониторинга сети будет наиболее приемлемым.

Только для PT ISIM proView Sensor / netView Sensor:

• Обновление PT ISIM proView Sensor / netView Sensor до версии 2.3 возможно только с версий 2.0 или выше. Если требуется обновить продукт версии 1.6 или 1.8, вы можете обновить его до версии 2.0, 2.1 или 2.2, после чего обновить до версии 2.3.
• Если PT ISIM proView Sensor / netView Sensor подключен к PT ISIM Overview Center, то для обновления продукта до версии 2.3 через PT ISIM Overview Center потребуется установить последнюю версию пакета интеграции ptisim-overview-updater на стороне PT ISIM proView Sensor / netView Sensor.

Новый пакет экспертизы MaxPatrol SIEM помогает обнаружить еще две тактики для развития атаки злоумышленниками

Теперь пользователи MaxPatrol SIEM могут выявлять злоумышленников на этапе, когда они связываются с атакованными машинами или пытаются повысить привилегии в системе до уровня администратора, чтобы развивать атаку. Для этого в MaxPatrol SIEM загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактик «Повышение привилегий в системе» (Privilege escalation) и «Управление и контроль» (Command and control) по модели MITRE ATT&CK.

Пакет экспертизы включает в себя правила детектирования, которые помогают выявить следующие подозрительные действия: создание зловредной библиотеки, запуск исполняемых файлов от имени другого пользователя, запуск командной строки от имени системы, загрузку и запуск вредоносного ПО, проксирование портов, нелегитимное интернет-соединение, идущее от исполняемых файлов.

Описание новых правил — в руководстве по установке и использованию пакета экспертизы. Чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версии 23.

PT ISIM proView Sensor / netView Sensor / View Point  Update

New features, improvements and limitations in PT ISIM proView Sensor / netView Sensor / View Point version 2.2

1. New features

PT ISIM proView Sensor / netView Sensor / View Point 2.2 supports analysis of the Diag GW and R200 (I&C system "Kvint") protocols and can detect unauthorized activity and exploitation of vulnerabilities on SPPA equipment.
Besides, the list of recognized protocols now also includes GLBP, OSPF, EIGRP, PPP, WLCCP, CDP, VTP, DTP, STP, VRRP, LLDP, GVRP, IGRP, IGMP, HSRP, NDP. For more information about the analyzed and recognized protocols, see the PT ISIM proView Sensor / netView Sensor / View Point Operator Guide.

2. Improvements

Optimized collection of statistics

The ptisim-bucket service, which collects statistics, has been optimized to allow faster operation. Besides, statistics are now stored in tables, with each table corresponding to one day. As a result, the overall limit of 20 GB for the entire statistics database is no longer in place.

Updated Angular

AngularJS was updated to Angular 7, which has improved the performance of the web interface.

"RabbitMQ queue was purged" system incident

If the queue size in RabbitMQ reaches a certain value, the queue is automatically purged, which may result in loss of data (events, incidents, statistics). In the new version of PT ISIM proView Sensor / netView Sensor / View Point, users will be informed about a queue purge by means of this system incident. For more information about the incident, see the PT ISIM proView Sensor / netView Sensor / View Point Administrator Guide.

3. Limitations of versions 2.2

PT ISIM proView Sensor / netView Sensor / View Point 2.2 has the following limitations:

• Statistical data (in reports and on the Statistics page) is not displayed for the DHCP, GOOSE, PROFINET, S7 (ISO), Vnet/IP, and ARP protocols.
• Statistical data (in reports and on the Statistics page) includes only the data (about events, nodes, connections, and incidents) detected in PT ISIM proView Sensor / netView Sensor / View Point 2.0 or later.
• Every time PT ISIM proView Sensor / netView Sensor / View Point is updated, data collected in history mode is displayed on the Topology page only for the period following the update. Data related to the period before the update is unavailable.
• Displaying the Topology page without delay is possible if the number of nodes does not exceed 2,500 or the number of connections does not exceed 5,000.
• PT ISIM proView Sensor / netView Sensor / View Point does not support NTP time synchronization on the server. Setting the system time back (via NTP or manually) may cause the product to function incorrectly.
• Updating the product interrupts the process of traffic collection and analysis. We recommend installing updates when it is most acceptable to perform no monitoring of the network.

Обновление PT ISIM proView Sensor / netView Sensor / View Point

Новые возможности, улучшения и ограничения в PT ISIM proView Sensor / netView Sensor / View Point версии 2.2

1. Новые возможности

В PT ISIM proView Sensor / netView Sensor / View Point версии 2.2 поддержан разбор протоколов Diag GW и R200 ("ПТК Квинт") и реализовано обнаружение несанкционированных действий и эксплуатации уязвимостей на оборудовании SPPA.
Кроме того, в число распознаваемых протоколов добавлены GLBP, OSPF, EIGRP, PPP, WLCCP, CDP, VTP, DTP, STP, VRRP, LLDP, GVRP, IGRP, IGMP, HSRP, NDP. Подробнее о разбираемых и распознаваемых протоколах см. Руководство оператора PT ISIM proView Sensor / netView Sensor / View Point.

2. Улучшения

Оптимизация службы сбора статистики

Ускорена и оптимизирована работа службы сбора статистики ptisim-bucket. Кроме того, теперь статистика сохраняется в отдельные таблицы по дням, что позволило снять общее ограничение в 20 ГБ на всю базу статистики.

Обновление Angular

Осуществлен переход с AngularJS на Angular 7, благодаря чему улучшена производительность веб-интерфейса.

Системный инцидент "Очистка очереди в RabbitMQ"

Если размер очереди в RabbitMQ достигает определенного значения, очередь автоматически очищается, что может привести к потере данных (событий, инцидентов, статистики). В новой версии PT ISIM proView Sensor / netView Sensor / View Point пользователь уведомляется о факте очистки очереди с помощью системного инцидента. Подробнее об инциденте см. Руководство администратора PT ISIM proView Sensor / netView Sensor / View Point.

3. Ограничения версий

PT ISIM proView Sensor / netView Sensor / View Point версии 2.2 имеет следующие ограничения:

• Статистическая информация (в отчетах и на странице Статистика) не отображается для протоколов DHCP, GOOSE, PROFINET, S7 (ISO), Vnet/IP и ARP.
• Статистическая информация (в отчетах и на странице Статистика) включает в себя только данные (о событиях, узлах, соединениях, инцидентах), которые были обнаружены в PT ISIM proView Sensor / netView Sensor / View Point версий 2.0 и выше.
  
• После любого обновления PT ISIM proView Sensor / netView Sensor / View Point данные в режиме расследования на странице Топология отображаются только за период с момента обновления; данные за период до обновления недоступны.
  
• Отображение страницы Топология без задержек возможно не более чем при 2500 узлов или 5000 соединений.
  
• PT ISIM proView Sensor / netView Sensor / View Point не поддерживает обновление времени на сервере по NTP. Перевод времени назад (по NTP или вручную) может привести к некорректной работе продукта.
  
• При обновлении продукта прерывается процесс сбора и анализа трафика. Рекомендуется выполнять обновление в заранее запланированный период, во время которого будет прерван мониторинг сети со стороны PT ISIM proView Sensor / netView Sensor / View Point.