Loader

Платформа Fidelis Elevate 9.4.x. Основные изменения

Обращаем ваше внимание на изменения работы платформы Fidelis Elevate, куда входят модули:

  • Deception
  • EDR
  • Network (NTA)

    Основные изменения:

Возможности Fidelis Deception для версий 9.4 — 9.4.2

  • Анализ сетей сервером ловушек (9.4.1).
  • Улучшения хлебных крошек (9.4.1).
  • LDAP-аутентификация пользователей-ловушек (9.4.2).
  • Расширенные возможности взаимодействия ловушек с Active Directory (9.4.2).
  • Избегание поддельных конфликтов MAC / IP-адресов (9.4.2).
  • Новое меню обмана.

                 — Приманки.
                 — Хлебные крошки.
                 — Данные ловушек.

  • Покрытие ловушками.
  • Активность ловушек.
  • Новый тип оповещения: Deception User.
  • Обман Active Directory: Analysis.
  • SSL-сертификат ловушки.
  • Хлебные крошки для ловушек RealOS.
  • Развертывание в облаке Azure.
  • Развертывание в облаке: IP-адреса.

Анализ сетей-ловушек (9.4.1)
Decoy Network Analysis добавляет возможность пассивного мониторинга сетевых интерфейсов на сервере Decoy. Анализ трафика используется для автоматического обнаружения подсетей и информации о VLAN, чтобы обеспечить более плавное развертывание обмана.
Улучшения хлебных крошек (9.4.1)
В этом выпуске в хлебные крошки были внесены два улучшения:

  • Удаленное распространение теперь включено через сервер Decoy. Это доступно для развертывания хлебных крошек на машинах Windows.
    Примечание. Подсети и учетные данные должны быть настроены на странице Decoy> Breadcrumbs.
  • Был добавлен новый тип хлебных крошек: команды PowerShell, которые будут записаны в историю PowerShell.

    LDAP-аутентификация пользователей-ловушек (9.4.2)
    Пользователи-ловушки периодически отправляют пакеты аутентификации в LDAP в качестве еще одного механизма, чтобы заманить злоумышленников для получения доступа к ловушкам и использовать поддельных пользователей.
    Сетевые функции Fidelis для версий 9.4 — 9.4.2

  • Страница расширенных сетевых метаданных (9.4.1).
  • Новый компонент: горячее резервирование CommandPost.
  • Страница обнаружения вредоносных программ и конфигурации песочницы.
  • Новая модель аномалий для обнаружения попыток фишинга (9.4.2).
  • Улучшение Playbook — проверка конечной точки для настраиваемых
    предупреждений (9.4.2).
  • Улучшения виджета конечной точки в сведениях об оповещениях (9.4.1).
  • Добавлены модели аномалий (9.4.1).
  • Улучшения иерархического управления аномалиями (9.4.1).
  • Новый атрибут HTTP (9.4.1).
  • Новый метод экспорта: HTTP.
  • Богатый анализ заголовка.
  • Поддержка HASSH Fingerprinting.
  • Сопоставление содержимого для URL-адресов Microsoft Office SafeLink.
  • Расширенная функциональность для столбчатых и круговых диаграмм (9.4.1).
  • Иерархическое управление настройками среды (9.4.1).
  • Новые функции почтового датчика (9.4.1).
  • Улучшения в управлении сертификатами (9.4.1).

Общие функции Fidelis Network и Deception для 9.4.3

  • Поддержка SAML.
  • Terrain: производительность и данные Active Directory.

Поддержка SAML
Fidelis Network and Deception теперь поддерживает Security Assertion Mark-Up Language (SAML), тем самым обеспечивая объединённыӗ единый вход и интеграцию с любым поставщиком IAM с поддержкой SAML.
Пользователи, которые ранее входили в учетную запись SAML, теперь должны только нажать кнопку SAML на странице входа, чтобы получить доступ к Fidelis Network and Deception.
Terrain: производительность и данные Active Directory Представление
Повышена производительность поиска информации о местности при мониторинге высокопроизводительных сетей.
Данные Active Directory
Рельеф обновляется информацией, полученной из Active Directory. Он предоставляет лучшую информацию для подсетей, которые не контролируются сетевыми датчиками.

Возможности Fidelis Deception для 9.4.3

  • Приманка RealOS через виртуальную машину.
  • Хлебные крошки памяти.
  • Улучшения предупреждений TCP.
  • Оповещения WOL.

    Приманка RealOS через виртуальную машину

    Образы RealOS Decoy запускаются в виртуальной системе так же, как и на аппаратном устройстве Fidelis. Это обеспечивает гибкость, позволяющую запускать реальный образ в системах виртуальных машин.
    Примечание. На сервере VM Decoy может работать только один RealOS Decoy.
    Кроме того, начиная с 9.4.3, новые приманки RealOS могут быть созданы только с использованием новых образов OVA. Существующие ловушки не будут затронуты и будут продолжать работать.
    Хлебные крошки памяти (lsass)
    Поддельные учетные данные хранятся в памяти, чтобы злоумышленники могли найти и использовать сохраненные ключи. Эти поддельные учетные данные определены в Active Directory и прикреплены к ловушкам, зарегистрированным в Active Directory. Учетные данные можно получить из памяти с помощью таких инструментов, как Mimikatz.
    Улучшения предупреждений TCP
    Оповещения запускаются для доступа к портам TCP, которые не запускают сеанс TCP по какой-либо причине, например, достаточно иметь рукопожатие TCP для запуска оповещений. Когда сеанс установлен, срабатывает соответствующее предупреждение, отражающее тип сеанса приложения.
    Оповещения WOL
    Оповещения запускаются на специально созданных пакетах Wake-on-LAN (WOL), отправленных ложным объектам.
    Сетевые возможности Fidelis для 9.4.3
    • Новые автоматизированные учебники
    • Интеграция с McAfee EDR
    • Получение информации об активах теперь доступно
    • Проверка подключения, доступно для SentinelOne и McAfee
    • Fidelis Halo включает функцию получения предупреждений
    • Новая интеллектуальная сетевая карта для прямого / внутреннего сенсора
    • Подробные сведения об оповещении конечной точки
    • Роль дешифрования
    • Пределы скорости оповещения DPI
    • Обновленная вкладка «Активы аномалий»
    • Упрощенная очистка предупреждений
    • Добавлен новый декодер Lzip
    Новые автоматизированные учебники
    Несколько новых готовых системных сборников теперь поставляются по умолчанию. Эти Playbook настроены на автоматический запуск в качестве действия по проверке предупреждений для предупреждений с самым высоким или критическим уровнем серьезности. Возможность клонировать и изменять системные Playbooks предоставляет пользователям ярлык для создания полностью настраиваемых Playbooks.
    Интеграция с McAfee EDR
    McAfee EDR непрерывно отслеживает и собирает данные, чтобы обеспечить видимость и контекст, необходимые для обнаружения угроз и реагирования на них. Эта интеграция позволяет переносить угрозы из McAfee в CommandPost, упрощая для аналитиков безопасности корреляцию событий сети и конечных точек.
    Получение информации об активах теперь доступно
    Интеграция с SentinelOne, McAfee EDR и Fidelis Endpoint была улучшена для получения более подробной информации о местности и теперь включает следующие возможности:
  • Получить информацию об активах: автоматически извлекает информацию об активах на периодической основе.
    Примечание. Этот параметр выбран по умолчанию для SentinelOne и Fidelis Endpoint и не может быть отменен. Для McAfee этот параметр должен быть выбран.
  • Получить информацию об активе сейчас: Немедленный сбор информации о новом активе.
    Примечание. Если система Fidelis Network включает в себя и SentinelOne, и McAfee, при нажатии «Информация об активе сейчас» будет собрана новая информация об активах с обоих серверов конечных точек.

    Проверьте подключение к SentinelOne и McAfee
    Интеграция SentinelOne и McAfee теперь включает кнопку Test Connectivity, которая проверяет соединения между Fidelis Network и SentinelOne или сервером конечной точки McAfee.
    Fidelis Halo включает функцию получения предупреждений
    Интеграция Fidelis Halo была улучшена для получения предупреждений Halo и имеет возможность соотносить их с предупреждениями в CommandPost. Получение предупреждений можно настроить для загрузки информации о предупреждениях в определенные интервалы.
    Новая интеллектуальная сетевая карта для прямого / внутреннего датчика
    Датчики Fidelis Network Direct / Internal теперь включают новый тип сетевых карт, предлагающий съемные трансиверы для скоростей соединения 1 Гбит / с, 10 Гбит / с и 25 Гбит / с. Этот тип сетевой карты также поддерживает обход с помощью микропрограмм и позволяет датчикам достичь более высокой производительности.
    Подробные сведения об оповещении конечной точки
    На странице «Сведения об оповещении» появился новый виджет: «Сведения об оповещении конечной точки». Этот виджет отображает данные, полученные из систем конечных точек, и отображается для предупреждений конечных точек, которые могут исходить от Fidelis Endpoint, CloudPassage, Fidelis Halo или SentinelOne.
    Роль дешифрования
    Роль расшифровки предоставляет доступ к настройкам расшифровки. Полный доступ позволяет вам переключать режим рентгеновского снимка для активов и настраивать параметры дешифрования на датчиках.
    Во время обновления до 9.4.3 для пользовательских ролей, для которых для параметра «Подробности оповещения» и «Политики» установлено значение «Полный», для расшифровки также будет установлено значение «Полный».
    Пределы скорости оповещения DPI
    Настройки правил DPI были улучшены, чтобы предоставить пользователям возможность ограничивать предупреждения от определенных правил.
    Обновленная вкладка «Активы аномалий»
    В разделе «Аномалии» вкладка «Активы» переименована в «Аномальные активы / учетные записи». Это лучше описывает информацию, содержащуюся на этой вкладке: аномальные активы и соответствующую информацию об аккаунте.
    Упрощенная очистка предупреждений
    Очистка предупреждений упрощена за счет улучшенной логики для повышения производительности.
    Добавлен новый декодер Lzip
    Декодер формата Lzip добавлен в сеть Fidelis. Lzip — это формат сжатия файлов с атрибутом Malformed.

Проблемы и улучшения, включенные в 9.4.3
Следующие проблемы клиентов и улучшения были исправлены в 9.4.3:

  • 8102: Поддержка декодера нового формата файлов: lzip (.lz).
  • 9056: Поддержка сбора и экспорта URL-адресов в сообщениях электронной почты в виде метаданных.
  • 15601: загрузки не отображаются для сеансов TLS — проблема с длиной сеанса TLS.
  • 16011: декодер Excel, объединяющий ячейки строк с использованием пространства для скрытых листов.
  • 16832: Загрузить объект файла предупреждения не работает в некоторых случаях.
  • 16859: Инструкции по замене сборщика обновлений XA в Руководстве по установке и настройке.
  • 16971: Показать версию правила DPI в пользовательском интерфейсе CommandPost.
  • 17566: Заголовок экспорта настраиваемых предупреждений в PDF не заполняется в экспортированном файле PDF.
  • 17622: отсутствует справочная документация для страницы источников данных.
  • 17631: добавление имени UserAgent для приложений windowscommunicationapps, отображаемых как «Hacker Hacker».
  • 17632: усеченные сведения о метаданных вызывают всплывающее окно пользовательского интерфейса «Непредвиденная ошибка» при нажатии на строку.
  • 17700: изменение рейтинга предупреждения в некоторых случаях не работает.
  • 17756: Контроль версий — обновление с 9.3.x до 9.4.x — установка выполнена с ошибками.
  • 17848: Панель мониторинга — Виджет сетевой статистики — Значения единиц измерения не сокращены.
  • 17849: Экспорт оповещения — поддержка экспорта идентификатора оповещения исходной конечной точки.
  • 17895: Веб-датчик — проблема с загрузкой большого файла.
  • 17954: Экспорт предупреждений — проблема обработки ошибок кнопки тестирования для метода экспорта HTTP.
  • 18022: Страница администрирования пользователей показывает неверное время последнего входа в систему.
  • 18047: Ошибка при удалении ловушек.
  • 18064: Добавьте подробное ведение журнала в поток развертывания хлебных крошек.
  • 18177: Перезагрузка датчика после сохранения изменения принудительного отключения при отказе от проводки.
  • 18251: Playbook не выполняет задачу на конечной точке.
  • 18262: Поддержка уведомлений об удаленном состоянии работоспособности по электронной почте.
  • 18402: Разрешить команды SMTP-сервера приманки в нижнем регистре.
  • 18414: включить фильтр «имеет пользователя» для всех сред.
  • 18531: исключение нулевого указателя при экспорте пакета доказательств.
  • 15982,7960: SAML для CommandPost (Ping, Okta, Azure AD).
  • 17629,18444: Поддержка фильтрации по узлу для уменьшения количества метаданных DNS.

Fidelis EDR
Новое для 9.4.1
Список новых функций, представленных ниже:
Предупреждение: перед установкой обратите внимание на следующее:

  • Если вы используете режим оповещения для мониторинга поведения, вам не следует обновляться до Fidelis Endpoint 9.4.1, поскольку этот выпуск поддерживает только режим полного поведения. Режим оповещения будет поддерживаться в следующем выпуске.
  • Fidelis Endpoint 9.4.1 не поддерживает (в той же манере, что и вы) правила Yara или хэши, которые вы ранее добавляли с помощью Configuration> Threat Intelligence> Process Blocking Rules — эти правила блокировки процессов удаляются во время обновления; следовательно:

                 — Перед обновлением до 9.4.1 вам следует вручную загрузить / экспортировать правила Yara. После обновления вы можете использовать загруженные вами правила Yara для создания новых правил обнаружения; Правила обнаружения поддерживают Yara как часть правила, а блокировку процессов — как действие для правила.
                — Скопируйте все хэши из пользовательского интерфейса вручную и сохраните их для использования после обновления. После обновления вы можете добавить хэши, создав файл импорта информационного канала и настраиваемый информационный канал. После импорта хэшей в канал вы можете настроить блокировку процессов для группы «Все» или для отдельных групп.

  • Раньше вы могли устанавливать более новые агенты со старым сервером. Из-за изменений формата правил обнаружения в 9.4 агенты 9.4.x могут использоваться только с серверными средами 9.4.x. У агентов 9.3 также есть проблемы с работой с серверной средой 9.4. Мы рекомендуем вам обновить ваши агенты 9.3 до 9.4.x как можно скорее после обновления вашего сервера.

Агенты

  • Доступен новый установщик агента MSI; при использовании с SCCM убедитесь, что вы выполняете установку в контексте системы, поскольку установка в контексте пользователя вызывает видимые и потенциально разрушительные побочные эффекты для любого пользователя, вошедшего в конечную точку во время установки.
  • Добавлена поддержка macOS 11 Big Sur, но не ARM (M1).
  • Добавлены подписки на оповещения для пользователей управления.
    Антивирус
  • Добавлены три новых настройки AV в FidelisFeedDownloader (для настройки конечной точки Fidelis для сред с воздушным зазором).
    Поведение
  • Добавлена возможность установить неограниченное время хранения данных о поведении (0).
  • Добавлен диалог совпадений правил обнаружения, который поможет вам сбросить совпадения правил обнаружения для отдельных клиентов.

Компания Oberig IT является официальным дистрибутором Fidelis на территории Украины, Казахстана, Грузии и стран СНГ.

Мы рекомендуем проводить обновление с привлечением технических специалистов
Oberig IT, которые быстро оценят состояние обновления и объяснят важность выполнения этой задачи как можно скорее.
Если у вас возникнут вопросы, пожалуйста, напишите нам: tech@oberig-it.com.
Команда специалистов Oberig IT всегда готова ответить на все ваши вопросы!