+36 1 999 6900

8 - 11 perc olvasási időFlowmon 12.2 és Flowmon ADS 12.1 újdonságok

Olvasómód

Ebben a blogbejegyzésben bemutatjuk a legfontosabb változtatásokat, kiegészítéseket és fejlesztéseket a Flowmon 12.2 legújabb kiadásából.

 

Flowmon 12.2

 

FIPS-kompatibilis távelérés

Az új verzióban a Flowmon eszközök távoli elérésére szolgáló titkosítási megoldások megfelelnek a FIPS (szövetségi információfeldolgozási szabvány) követelményeinek. Míg a FIPS az Egyesült Államok kormányzati szabványaként indult a számítógépes biztonsági kriptográfiai szintek meghatározására, mára már az egyik legmagasabb szintű adatvédelemre és biztonságra vonatkozó biztosíték, és a szövetségi használaton és az Egyesült Államokon messze túlmutat.
A Flowmon 12.2 FIPS támogatása a következőket tartalmazza:

  • a FIPS által jóváhagyott biztonsági algoritmussal védett SSH-hozzáférés
  • a FIPS által jóváhagyott biztonsági algoritmussal védett Webes (HTTPS) hozzáférés

Az ebben a funkcióban használt FIPS-kompatibilis rejtjelekkel és kriptográfiai algoritmusokkal kapcsolatos további részletek a Flowmon legújabb felhasználói kézikönyvében találhatók a Setup & Configuration szakaszban.

 

QUIC protokoll támogatás

A kiadás a QUIC (Quick UDP Internet Connection) támogatásával bővült, amely protokoll egyre gyakrabban fordul elő olyan webhelyekhez való kapcsolódásnál, mint például keresőmotorok, videostreaming oldalak vagy mobileszközökről való hozzáférés, ahol az adatkapcsolati késések a felhasználói élményben már problémát jelenthetnek. Az informatikai szakemberek azonosítani tudják hálózatukban a QUIC-forgalmat, kinyerhetik az SNI (Server Name Indication) információkat, ahogy azt a normál webforgalom esetében megszokhatták. A QUIC alapértelmezés szerint ki van kapcsolva a Flowmon 12.2-ben, a monitoring portok speciális beállításainál lehet engedélyezni.

 

Új táblázat widget topológiatérképekhez

A Flowmon 12.2 lehetővé teszi a topológiatérképek alternatív megjelenítését táblázat formájában, amely mutatja a magas sávszélesség kihasználtságot és vonali torlódásokat. A kihasználtságot az adott időszakra vonatkozó sávszélességből, adott kapacitásból számítja ki és százalékban fejezi ki. Míg az irányítópultok számára a topológia térképnézet az előnyben részesített lehetőség, addig a táblázatos nézet átfogó képet ad a jelentésekben a sávszélesség kihasználtságáról:

 

Az elosztott architektúra (Distributed Architecture – DA) fejlesztései és javításai

A Flowmon korábbi verzióiban a nagy mennyiségű log fájllal való munkavégzés nem volt igazán intuitív. A 12.2-es kiadásban a DA számos fejlesztése sokkal jobbá teszi a nagy mennyiségű napló fájlok letöltését, átvitelét és elemzését.
Példák a fejlesztésekre:

  • Aszinkron hozzáférés – a naplófeldolgozás és a letöltés mostantól a háttérben is megtörténhet, értesítést kapunk, amikor a logok készen állnak a hozzáférésre.
  • A legfrissebb elérhető logok összegyűjtésre kerülnek, és egyetlen helyen érhetők el.
  • A felhasználói felület a legújabb naplók dátumát mutatja.
  • A logok mostantól nem a home könyvtárban lesznek tárolva, hogy elkerülhető legyen annak túltelítése.
  • Kiválaszthatók azok a DA-példányok, amelyekről a logok letölthetők.
  • A kivételek naplózási hibái mindenhol javultak.

 

Progress branding

Megragadta a gyártó a mostani a kiadásban rejlő lehetőséget, hogy frissítse a Flowmon termékcsaládot a Progress termékcsaládban használt márkajelzések, színek, logók és ikonok használatához.

 

További változtatások

A Flowmon 12.2 további változtatásai, amelyekre érdemes odafigyelni:

  • A Reporting menü végleg kikerült a Flowmon Monitoring Centerből (FMC) – A riportolási funkciót az új Dashboard and Reports modul részeként vezették be egy ideje azzal a szándékkal, hogy az FMC korábbi ugyanilyen funkcióját lecseréljék. Az FMC-ben ezek után is rendelkezésre állt a Reports modul, hogy idő maradjon az átállásra és a módosításokra. A Flowmon 12.2 viszont már eltávolítja a Reports funkciót az FMC-ből, ezek után már csak a Dashboard and Reports modul szolgál a jelentési igények kielégítésére.
  • Értesítések bizonyos honosítások támogatásának megszűnéséről – A spanyol, francia és német lokalizáció támogatása a tervek szerint a Flowmon 13-as verziójával megszűnik. Ennek eredményeként a 12.2-es kiadás értesítéseket tartalmaz az e három nyelvet használó felhasználók számára, amelyek tájékoztatják őket a közelgő változásról.
  • Csomagfrissítési folyamat fejlesztései – Új dinamikus folyamatjelző jelenik meg, ha frissítés telepítése történik egy Flowmon példányon. Az új indikátor mind a Flowmon csomag, mind a modulok telepítési folyamatát mutatja. A Flowmon a frissítés során karbantartási módba is kapcsol, hogy megakadályozza a véletlen újraindítást vagy leállást.
  • Konfigurálható munkamenet-időtúllépés az inaktív felhasználó kijelentkezéséhez – A múltban, amikor egy felhasználó bezárta a böngészőablakot anélkül, hogy kijelentkezett volna egy Flowmon-munkamenetből, volt egy 10 napos, nem állítható türelmi időszak, amely alatt anélkül lehetett újra létrehozni a munkamenetet, hogy az újra hitelesítésre kerüljön. Sok szervezet kérte, hogy ez az időtartam testre szabható legyen a biztonsági szabályzatoknak való megfelelés érdekében. A Flowmon 12.2-ben a felhasználói munkamenet időtúllépése konfigurálható, az alapértelmezett beállítás 12 óra. Ezenkívül a REST API hozzáférési token is konfigurálható, amely alapértelmezés szerint 24 óra, csakúgy, mint a REST API frissítési token időtúllépése, amely alapértelmezés szerint 48 óra.
  • Flow adatok időbélyegének módosítása – Egyes harmadik féltől származó routerek és switchek megbízhatatlan adatfolyam-időbélyegeket adnak ki (pl. relatív időbélyegek a rendszeridő jelentése nélkül). Ez problémát okozhat a flow adatok elemzésénél. A Flowmon 12.2-ben most lehetőség van ezen forgalomirányítók és kapcsolók által kiadott flow start idő beállítására, és a Flowmon által kiszámított időbélyegekkel való helyettesítésére a flow fogadási idő és a flow időtartama alapján.
  • Utolsó csomag mentve – A hálózati forgalmat figyelő Flowmon Probe process összeomlásának esetén az utolsó csomag mentésre kerül, hogy további elemzéshez adatokat biztosítson.

 

ADS 12.1

 

Új észlelési módszer a DoH forgalom számára

A HTTPS-en keresztüli DNS (DNS over HTTPS – DoH) jelentős kockázatot jelent a vállalat biztonságára nézve, mivel megkerüli a vállalati DNS-kiszolgálókat és a DNS-alapú szolgáltatásokat, így az eszközök védelem nélkül maradhatnak. Az ADS 12.1-ben új észlelési módszer lett bevezetve a DNS HTTP-n keresztüli (DoH) egyes hálózati eszközök általi használatának azonosítására és jelentésére, amely lehetővé teszi a hálózati adminisztrátorok számára, hogy a titkosított DNS-protokoll használatát azonosítsák és megtalálják az adott eszközöket. Ez sokkal könnyebbé teszi a rosszindulatú tevékenységek vagy kommunikáció észlelését, amelyeket a kiberbűnözők titkosított DNS használatával próbálnak elrejteni, ezáltal csökkenthető az általános kockázat.

 

A meglévő észlelési módszerek továbbfejlesztése

A gyártó valóban meghallgatja az ügyfelek visszajelzéseit arról, hogyan javíthatnák tovább a Flowmon megoldásait, hogy megkönnyítsék a hálózati rendszergazdák életét, és segítsenek nekik a szervezet hálózatának megfigyelésében és védelmében. Az ADS 12.1-ben a visszacsatolás számos észlelési módszer továbbfejlesztéséhez vezetett.

  • RDPDICT: Ez az észlelési módszer kiemeli a széles körben használt Remote Desktop Protocol (RDP) szolgáltatás elleni támadásokat, amelyek célja a szolgáltatáshoz vagy rosszul konfigurált eszközhöz való jogosulatlan hozzáférés. Ezt a módszert vizsgálja a legújabb kiadás az RDP protokollok jelenlegi és legújabb verziói elleni támadások észlelésére. Az új metódusparaméterek azt is lehetővé teszik a rendszergazdák számára, hogy az észlelést a környezetükhöz hangolják.
  • TEAMVIEWER: Ez a módszer a távelérési alkalmazás használatának észlelésére szolgál. A módszer pontossága jelentősen nőtt, mivel az elemzés részeként autonóm rendszer (AS) számokat is használnak.
  • DNSANOMALY: A ForbiddenServer almetódus a DNSANOMALY-ban mostantól lehetővé teszi a helyi DNS-kiszolgálók kizárását. Ez csökkenti a fals pozitív üzenetek számát, amikor egy helyi DNS-kiszolgáló nyilvános DNS-kiszolgálókkal kommunikál.
  • BLACKLIST: Az IP feketelista formátuma bővült egy megjegyzésmezővel. Ez az opcionális mező további információkat nyújthat a tiltólistán szereplő IP-címekről, és segít a felhasználóknak megérteni a kontextust, valamint dokumentálni, hogy egy adott IP-cím miért szerepel a listán.

 

Továbbfejlesztett elemzés és munkafolyamatok

Egyszerűsítették az FMC-n belül az események kivizsgálásakor szükséges tevékenységeket. A korábbi kiadásokban egy manuális folyamat megkövetelte, hogy az elemzők másolják ki a szűrőt az ADS-ből, majd illesszék be az FMC-be. Ezután manuálisan kellett megkeresni a megfelelő forgalmi szegmenseket az FMC-ben, kiválasztani és megerősíteni a csatornát és az időintervallumot, alkalmazni a kívánt szűrőt, majd elkezdeni az eseményadatok elemzését.
Az ADS 12.1-ben ezek a feladatok most egy előre konfigurált FMC-elemző képernyőn lettek csoportosítva, ahonnan azonnal indítható az elemzés. Az alábbi példa a közvetlen linket mutatja az event evidence alatt:

És végül, de nem utolsósorban, kibővítették az elérhető oszlopokat, amelyeket a felhasználó beállíthat a nézeteiben. A kiberbiztonsági mérnökök azzal a problémával szembesülhetnek, hogy az ADS Analysis és az ADS Events oldalon priorizálják és elemezzék a meglévő események állapotát, miközben az állapotra vonatkozó információk az Events részletei között vannak elrejtve. A múltban a felhasználónak ezt általában úgy kellett megkerülnie, hogy minden eseményre külön-külön rákattintott, ami sok időt vett igénybe.
A munkafolyamat javítása érdekében a felhasználók az alábbi képen látható módon testreszabhatják a Method instances, Comments és Categories oszlopokat az Analysis oldal IP nézetében:

A felhasználók az Events oldalon új oszlopokat is hozzáadhatnak a “Simple list”, “By MITRE” és “By Hosts” fülekkel. Alább látható egy példa egy brute force támadásra az eseményoldalon a “MITRE ATT&CK” lapon: