|
|
|
PT ISIM View Sensor Update
|
|
New features and improvements in PT ISIM View Sensor version 1.6.1
1. New features and improvements
Limit on GOOSE events
You can now limit the number of events related to GOOSE packets of incorrect format. For this, the configuration file of the PT Peony component now contains parameters that let you limit the number of such events for a period of time. For example, you can configure PT ISIM View Sensor to create events for a maximum of 50 packets of incorrect format per minute and create no events for the remaining packets of incorrect format within the same period.
Faster loading of event list
The release fixes an issue that caused slow loading of the event list in the web interface. In earlier versions, any action on the event list (using the filter, timeline, updating the list) caused PT ISIM View Sensor to reread the entire event database before applying a filter by time. Now queries are executed only for events that match a selected filter by time, which lets the event list load faster.
Rotation of PostgreSQL log files
In earlier versions, log file rotation was not configured in the PostgreSQL database management system, so the product could use up disk space. With PostgreSQL rotation settings in the new version of PT ISIM View Sensor, PostgreSQL log files are deleted after a week.
Optimized RAM usage
Usage of RAM by the PT Peony component has been improved. In earlier versions, PT Peony created queues when analyzing large amounts of traffic but did not delete them after traffic analysis was completed, which caused excessive usage of RAM.
2. Limitations of versions 1.6
You cannot update PT ISIM View Sensor 1.5 or earlier to version 1.6 or later.
|
Обновление PT ISIM View Sensor
|
|
Новые возможности и улучшения в PT ISIM View Sensor версии 1.6.1
1. Новые возможности и улучшения
Ограничение количества GOOSE-событий
Добавлена возможность ограничивать количество событий, относящихся к GOOSE-пакетам некорректного формата. Для этого в конфигурационный файл компонента PT Peony добавлены параметры, с помощью которых можно ограничить количество таких событий за период времени. Например, вы можете настроить PT ISIM View Sensor таким образом, что события будут создаваться для не более 50 пакетов некорректного формата в минуту, остальные такие пакеты за этот же период не будут приводить к созданию события.
Ускорение загрузки списка событий
Исправлена ошибка, приводившая к медленной загрузке списка событий в веб-интерфейсе. Ранее при любом действии со списком событий (использовании фильтра, временной шкалы, обновлении списка) PT ISIM View Sensor перечитывал всю базу данных событий до применения фильтра по времени. В результате доработки запрос выполняется только в отношении тех событий, которые подходят под выбранный фильтр по времени, что ускорило загрузку списка событий.
Ротация файлов журналов PostgreSQL
Ранее в системе управления базами данных PostgreSQL не была настроена ротация файлов журналов, что могло привести к исчерпанию дискового пространства. В новой версии PT ISIM View Sensor ротация PostgreSQL настроена таким образом, что файлы журналов PostgreSQL удаляются через неделю.
Оптимизация потребления оперативной памяти
Улучшено потребление оперативной памяти компонентом PT Peony. Ранее при анализе большого объема трафика PT Peony создавал очереди, но не удалял их после завершения анализа трафика, что приводило к излишнему потреблению оперативной памяти.
2. Ограничения версий 1.6
Невозможно обновление PT ISIM View Sensor версии 1.5 и более ранних на версию 1.6 и более поздних.
|
|
Read more »
|
|
|
|
|
MultiScanner Update
|
|
New features and improvements in MultiScanner version 2.3
1. New features
1.1. Creating high availability cluster
Starting with version 2.3, you can deploy PT MS in a high availability cluster. For this, you must install three PT MS nodes on separate virtual machines or physical servers. If a hardware component (such as a hard drive or RAM module) or physical server fails or one of the PT MS nodes is disconnected from the network, the product will continue processing file check tasks.
Like in the earlier version, you can install additional PT MS nodes that perform only behavioral analysis. You can connect such nodes to the main PT MS node in a high availability cluster or without it.
1.2. Creating local update mirror
PT MS can now check files and receive updates in a network segment isolated from the Internet. If the information security policy of your organization prohibits Internet access for PT MS or if the server with PT MS has no Internet communication channel, you can install a local update mirror in a demilitarized zone. The mirror will download updates from the Positive Technologies website. To transfer updates from the mirror to PT MS, you can copy them manually using external media or configure files to be automatically replicated from the local mirror to PT MS.
1.3. Turning off anonymous file checking
Users who do not sign in to PT MS can check files anonymously. If the information security policy of your organization does not allow anonymous checking, you can now turn it off on the MultiScanner settings page.
2. Improvements
You can now specify proxy server connection parameters for the APT package manager in Ubuntu. When PT MS is installed on a host with an operating system pre-installed and when PT MS is updated, the product can download the necessary packages using the APT manager. If a proxy server is used to access the Internet, you must specify the parameters required to connect to this proxy server so that dependent packages can be downloaded when the product is installed or updated. If PT MS is installed using an ISO file, proxy server connection parameters are not required because the necessary dependencies are installed from this file.
|
Обновление MultiScanner
|
|
Новые возможности и улучшения в MultiScanner версии 2.3
1. Новые возможности
1.1. Создание кластера высокой доступности
Начиная с версии 2.3 вы можете развернуть PT MS в кластере высокой доступности. Для этого вам нужно установить три узла с PT MS на отдельных виртуальных машинах или физических серверах. При выходе из строя любого аппаратного компонента (например, жесткого диска или модуля ОЗУ), физического сервера или при потере сетевого доступа к одному из узлов PT MS продукт продолжит обрабатывать задачи на проверку файлов в штатном режиме.
Как и в предыдущей версии, вы можете устанавливать дополнительные узлы PT MS, которые будут выполнять только поведенческий анализ. Такие узлы можно подключать к основному узлу PT MS как в кластере высокой доступности, так и без него.
1.2. Создание локального зеркала обновлений
Теперь PT MS может проверять файлы и обновляться в изолированном от интернета сегменте сети. Если политика информационной безопасности организации запрещает доступ в интернет для PT MS или если у сервера с PT MS отсутствует канал связи с интернетом, вы можете установить локальное зеркало обновления в демилитаризованной зоне. Это зеркало будет загружать обновления с сайта "Позитив Текнолоджиз". Для передачи файлов обновлений с зеркала в PT MS вы можете либо вручную копировать их при помощи внешнего носителя, либо настроить автоматическую репликацию файлов между локальным зеркалом и PT MS.
1.3. Отключение анонимной проверки файлов
Пользователи, которые не вошли в PT MS, могут проверять файлы анонимно. Теперь, если политика информационной безопасности организации не разрешает подобную проверку, вы можете отключить ее на странице Параметры MultiScanner.
2. Улучшения
Теперь вы можете указать параметры подключения к прокси-серверу для пакетного менеджера APT в Ubuntu. При установке PT MS на узел с уже установленной ОС и при обновлении PT MS продукт может загружать необходимые ему пакеты с помощью менеджера APT. Если доступ в интернет осуществляется через прокси-сервер, вам нужно указать параметры подключения к этому прокси-серверу для загрузки зависимых пакетов во время установки или обновления продукта. При установке PT MS с помощью ISO-файла указывать параметры подключения к прокси-серверу не нужно, поскольку необходимые зависимости устанавливаются из этого файла.
|
|
Read more »
|
|
|
|
|
MaxPatrol SIEM выявляет попытки закрепления атакующих по модели MITRE ATT&CK
|
|
В MaxPatrol SIEM загружен новый пакет экспертизы: 15 правил корреляции событий ИБ в его составе направлены на выявление активности злоумышленников с использованием тактик Execution («Выполнение») и Defense Evasion («Обход защиты») по модели MITRE ATT&CK для операционной системы Windows. Теперь пользователи MaxPatrol SIEM могут обнаружить активные действия злоумышленника после проникновения его в инфраструктуру.
Это первый пакет экспертизы из специальной серии, которую создадут специалисты экспертного центра безопасности Positive Technologies (PT Security Expert Center). Каждый из пакетов выявляет атаки с применением одной или нескольких тактик в соответствии с матрицей ATT&CK for Enterprise. В планах PT Expert Security Center — постепенно покрыть все 12 тактик матрицы.
Более подробное описание первого пакета из серии читайте в документе «Описание пакета экспертизы №7».
Подробная инструкция по установке и использованию пакета экспертизы доступна в документе «Пакет экспертизы № 7. Выявление атак, использующих тактики "Выполнение" и "Обход защиты" (по классификации MITRE ATT&)».
|
|
Read more »
|
|
