История обновлений

Обновления для операционных систем
 • Ubuntu 18
 • Ubuntu 22
 • Astra Linux

Рекомендуемые обновления для Ubuntu 18
- rusiem-kb_24.8-986
- rusiem-kernel_24.8-398
- rusiem-web_24.08-4.2.0-2193
- rvsiem-kernel_24.8-278

Рекомендуемые обновления для Ubuntu 22
- rusiem-frs-24.8-24 
- rusiem-kb-24.8-979 
- rusiem-ls-24.8-30 
- rusiem-tools-24.8-530
- rusiem-web-24.08-4.2.0-2194
- rvsiem-frs-24.8-19
- rvsiem-ls-24.8-33

Рекомендуемые обновления для Astra Linux
- rusiem-frs - 24.8-18-astra.0
- rusiem-kb - 24.8-430-astra.0
- rusiem-ls - 24.8-33-astra.0
- rusiem-web - 24.8-4.2.0-60-astra.0
- rvsiem-frs - 24.8-16-astra.0
- rvsiem-ls - 24.8-20-astra.0

Основное
 • Сбор событий по протоколу SNMP
 • Мониторинг syslog источников

Дашборды
 • Массовый импорт и экспорт
 • Поиск по названию
 • Доработан конструктор линейного виджета

Коррелятор
 • Оптимизация правил с несколькими блоками условий

Инциденты
 • Отображение идентификатора инцидента

Отчеты
 • Доработка области видимости пользовательских отчетов

Списки и таблицы
 • Экспорт содержимого статических и динамических таблиц
 • Вывод правил со статическими списками

Агенты
 • Управление локальной базой агента

Настройки
 • Логирование парольной политики
 • Доработка прав доступа просмотра сущностей системы

Multitenancy
 • Закрытие инцидента из головной ноды

Доработано парсеров: 36 шт.

Рекомендуемые обновления для Ubuntu 22
 • rusiem-kb 24.2-622
 • rusiem-web 24.02-4.0.0-1762
 • rusiem-tools 24.2-488
 • rusiem-frs 24.2-18
 • rusiem-kernel 24.2-17
 • rusiem-ls 24.2-19
 • rvsiem-frs 24.2-16
 • rvsiem-ls 24.2-26
 • rvsiem-kernel 24.2-18

Рекомендуемые обновления для Ubuntu 18
 • rusiem-kernel 24.2-390
 • rusiem-kb 24.2-638
 • rusiem-tools 24.2-486
 • rusiem-web 24.02-4.0.0-1760
 • rvsiem-kernel 24.2-270

Рекомендуемые обновления для Astra Linux
 • rusiem-frs 24.2-16
 • rusiem-kernel 24.2-17
 • rusiem-tools 24.2-128
 • rusiem-kb 24.2-84
 • rusiem-ls 24.2-28
 • rusiem-web 24.2-4.0.0-44
 • rvsiem-frs 24.2-14
 • rvsiem-ls 24.2-17
 • rvsiem-kernel 24.2-15

Обновления для операционных систем
• Ubuntu 22
 • Ubuntu 18
 • Astra Linux

Основное
 • Новый дизайн (с возможностью переключения на старый)
 • Переработанный раздел «Источники»
 • Статические таблицы

Панель мониторинга
 • Новый виджет «Гистограмма с накоплением»

Инциденты
• Массовое удаление инцидентов, сгруппированных по тенанту, по наименованию или по категории

Корреляция
 • Оптимизация операторов для работы со статическими списками (inlist, notinlist и т.п.)
 • Оптимизация уведомлений в telegram

Отчеты
 • Доработка валидации, права доступа

Новые парсеры
 • SNR
 • ODBC
 • Maipu
 • Mate
 • Modsecurity
 • Laurel
 • Ssecline

Доработанные парсеры
 • Kerio
 • Cisco
 • OpenVPN
 • Linux
 • Windows
 • UserGate
 • Amazon
 • Fortinet
 • InfluxData
 • Strongswan
 • Synology
 • Apache
 • Freeradius
 • Panda
 • Ubiquiti
 • Infowatch
 • AuditD
 • Squid
 • Kaspersky
 • Zyxel
 • Arbor Networks
 • Allied Telesis
 • IBM
 • SendMail
 • Nagios
 • Rusiem
 • Cowrie
 • D-link
 • kubernetes
 • Avaya
 • Oracle
 • Infotecs
 • HPE
 • Ideco
 • Python
 • Rt-solar
 • VMware
 • SecurityCode
 • ElasticSearch
 • NewSecurity
 • Dovecot
 • NextCloud
 • RedHat
 • Symantec
 • T8
 • Eltex
 • SIGUR
 • DrWeb
 • Amavis
 • Ossec
 • Zimba
 • BlueCoat
 • PSQL
 • Asus
 • Sysco
 • Etcd
 • Cbr
 • Docker
 • Drupal
 • Sophos
 • Yandex
 • Exim
 • Abrt
 • Caddy
 • Cryptopro
 • Haproxy
 • PHP
 • Rspamd
 • Isimplelab

Обновления для операционных систем
 • Ubuntu 22
 • Ubuntu 18
 • Astra Linux

Основное
• Оптимизация нормализатора
• Оптимизация коррелятора
• Оптимизация модуля отчетности

Инциденты
 • Уведомления в telegram для переоткрытых инцидентов


Взаимосвязи
 • Запоминание последнего фильтра
 • Улучшение отображения узлов

Нормализация
 • Оптимизация потребления памяти

Корреляция
 • Оптимизация функции подсчета уникальных значений

Таблицы и списки
 • Постраничный поиск значений статического списка
 • Сортировка значений таблиц
 • Массовое удаление значений таблиц

Агенты
 • Экспорт списка агентов и модулей
 • Групповое управление агентами
 • Шаблоны настроек модулей агентов

Отчеты
 • Оптимизация генерации отчетов

Новый набор правил корреляции
 • PowerShell
 • Sysmon
 • Rusiem IoC

Новые парсеры
 • Indeed
 • BDCom
 • Ssec
 • Aoavt
 • Shtormtech
 • Multifactor
 • Kron
 • SwordFish
 • SearchInform
 • CrushFTP
 • OpenVAS
 • Safib
 • Xello
 • Aide
 • Zalando
 • Cybertec-Postgresql
 • Unlimited
 • Grafana

Доработанные парсеры
 • PostgreSQL
 • Infotecs
 • SolidSoft
 • UserGate
 • PulseSecure
 • Ntop
 • Linux
 • Python
 • Rusiem
 • TrafficMonitor
 • Ssecline
 • Mikrotik
 • Huawei
 • Windows
 • VmWare
 • DrWeb
 • S-Terra
 • Cisco
 • Fortinet
 • Group-IB
 • 1C
 • RT-solar
 • DHCP
 • SecurityCode
 • CheckPoint
 • NetGate
 • MSSQL
 • Nmap
 • Forcepoint
 • Veem
 • Kaspersky
 • Etcd
 • PHP
 • Amavis
 • Communigate
 • Ideco
 • Zecurion
 • Proxmox
 • Brocade
 • PaloAlto
 • Apache
 • AuditD
 • Ubiquiti
 • Suricata
• Filelog
 • Sophos
 • OpenVPN
 • Exim
 • Haproxy

Рекомендуемые обновления для Ubuntu 22
• rusiem-kernel - 23.11-15-ubuntu22.04
• rusiem-ls - 23.11-17-ubuntu22.04
• rusiem-frs - 23.11-15-ubuntu22.04
• rusiem-kb - 23.11-483-ubuntu22.04
• rusiem-web - 23.11-3.11.0-1586.ubuntu22.04
• rusiem-tools - 23.11-479-ubuntu22.04
• rvsiem-kernel - 23.11-16-ubuntu22.04
• rvsiem-ls - 23.11-24-ubuntu22.04
• rvsiem-frs - 23.11-15-ubuntu22.04

Рекомендуемые обновления для Ubuntu 18
• rusiem-kernel - 23.11-380-ubuntu18.04
• rusiem-kb - 23.11-480-ubuntu18.04
• rusiem-web - 23.11-3.11.0-1585.ubuntu18.04
• rusiem-tools - 23.11-478-ubuntu18.04
• rvsiem-kernel - 23.11-267-ubuntu18.04

Рекомендуемые обновления для Astra linux
• rusiem-kernel - 23.11-15-astra.0
• rusiem-ls - 23.11-25-astra.0
• rusiem-frs - 23.11-15-astra.0
• rusiem-kb - 23.11-32-astra.0
• rusiem-web - 23.11-3.11.0-43-astra.0
• rusiem-tools - 23.11-3.11.0-43-astra.0
• rvsiem-kernel - 23.11-13-astra.0
• rvsiem-frs - 23.11-13-astra.0
• rvsiem-ls - 23.11-14-astra.0

Основное
• RuAgent оптимизирован под нагрузку
• Разработан модуль сбора событий ODBC

Агент
• Оптимизирован модуль FTP Log
• Доработан модуль АПКШ континент
• Повышена стабильность модуля postgresql

Отчеты
• Доработаны отчеты по задачам инцидентов
• Доработаны отчеты по инцидентам



Настройки
• Доработана авторизация по LDAP

Микросервисы
• Оптимизирован коррелятор
• Повышена стабильность нормализатора
• Добавлена возможность удаления конфигураций

Доработаны парсеры
• VMware
• Kaspersky
• Linux
• PSQL
• Zabix
• CheckPoint
• Windows
• S-terra
• Huawei
• Suricata
• Oracle
• HPE
• Usergate
• SecurityCode
• D-link
• Moxa
• Dell
• Avaya
• Juniper
• Mikrotik
• Ideco
• ClearSwift
• Communigate
• Zyxel
• ManageEngine
• Apache
• IIS
• Cisco
• NextCloud
• Staffcop
• Positive
• Infotecs
• AuditD
• Nginx
• Courier-MTA
• PaloAlto
• Rusiem
• Eltex



• Filelog (IIS)
• Atlassian
• A-real
• Brocade
• Gamma
• Eset

Новые парсеры
• SolidSoft
• Bolid Orion
• Exim
• Courier-mta
• CyberProtego
• Echelon (Scaner-VS)
• Tripwire (enterprise)
• DejaVU (engine)
• Isimplelab
• Qnap (nas
• F5 (ASM)
• NSD (Transit2.0)
• Proxmox (PVE)

Рекомендуемые обновления для Ubuntu 18
•     rusiem-kb - 18.23.7-351
•     rusiem-web - 18.23.07-3.10.0-1323
•     rusiem-kernel - 18.23.7-367
•     rusiem-tools - 23.07-428
•     rvsiem-kernel - 18.23.7-258

Основное
•     Поддержка Ubuntu 22
•     Добавлена вкладка «Задачи по инцидентам» (https://docs.rusiem.tech/sections/409)
•     Добавлено множество правил корреляции Multitenancy
•     Оптимизирован функционал обмена статическими списками (https://docs.rusiem.tech/sections/407)
•     Оптимизирован функционал обмена правилами корреляции (https://docs.rusiem.tech/sections/408)
•     Добавлен функционал контроля статусов лицензий (https://docs.rusiem.tech/sections/413)

Источники
•     Оптимизирован раздел работы с агентами
•     Добавлена функция массового удаления агентов (https://docs.rusiem.tech/sections/410)

Новые правила корреляции
•     Secret Net (8 правил)
•     Fortigate (3 правила)
•     Nextcloud (10 правил)
•     MITRE ATT&CK (12 правил)
•     Microsoft Defender (7 правил)
•     UserGate (2 правила)

Доработаны парсеры
•     Auditd
•     DrWeb
•     Huawei
•     Windows
•     UserGate
•     Zyxel
•     Ideco
•     Kaspersky
•     VmWare
•     Checkpoint
•     Security Code
•     Linux
•     Cisco (ASA)
•     SafeInspect
•     Suricata
•     FortiNet
•     Synology
•     Vipnet
•     S-terra
•     Nginx
•     MSSQL
•     Linux
•     A-real
•     Apache
•     Ossec
•     IIS
•     1C-bitrix
•     Squid
•     Bro

Новые парсеры
•     Zabbix
•     Rspamd
•     Sysco
•     MDeamon
•     Abrt-server
•     Python

Рекомендуемые обновления для Ubuntu 18
•     rusiem-analytics 21.0-228
•     rusiem-analytics-sa 21.0-228
•     rusiem-web 18.23.03-3.9.0-1082
•     rusiem-kb 18.21.4-256
•     rusiem-tools 23.02-314
•     rvsiem-kernel 18.21.4-245
•     rusiem-kernel 18.21.4-340

Основной функционал
•     Возможность фильтрации приходящих событий (https://docs.rusiem.tech/sections/394)
•     Telegram-уведомления об инцидентах (https://docs.rusiem.tech/sections/400)

Дополнительные доработки События
•     Получение значения EPS через API Нормализация
•     Преобразования значения int в ipv4
•     Преобразование timestamp в дату указанного формата

Отчеты
•     Возможность выбора полей инцидентов
•     Генерация отчетов в формате docx Микросервисы
•     Отображение имени хоста Multitenancy
•     Функционал копирования списков на подчиненные ноды

Агент
•     Оптимизация модуля EventLog
•     Оптимизация модуля FTP
•     Оптимизация модуля FileLog

Доработаны парсеры
•     Cisco
•     Mikrotik
•     CheckPoint
•     Vmware
•     Windows
•     IIS
•     Kaspersky
•     Garda Monitor
•     Netflow
•     Dr.Web
•     Auditd
•     Suricata
•     Infotecs

Новые парсеры
•     Маршрутизатор huawei
•     DWDM Volga
•     КриптоПро
•     NGate Elastic auditbeat (Filelog)

Рекомендуемые обновления для Ubuntu 18
rusiem-database_18.21.0-74_amd64.deb
rusiem-kb_18.21.4-198_amd64.deb
rusiem-kernel_18.21.4-323_amd64.deb
rusiem-tools_22.11-286_amd64.deb
rusiem-web_18.23.01-3.8.0-945_amd64.deb
rvsiem-kernel_18.21.4-235_amd64.deb

События
Режим Multitenancy. Возможность фильтрации по тенантам (https://docs.rusiem.tech/sections/390)

Новый функционал
Обогащение событий активами (https://docs.rusiem.tech/sections/387)
Агрегация событий (https://docs.rusiem.tech/sections/381)

Агент сбора событий
Модуль RestAPI (https://docs.rusiem.tech/sections/391)

Корреляция
Новый оператор inlist_contains (https://docs.rusiem.tech/sections/282)

Доработаны парсеры
Cisco
Kaspersky Security Center
Ideco
Nginx
Windows
MS DHCP
Infotecs
Linux
Suricata
NetGate

Новые парсеры
Cowrie
Система видеонаблюдения Trassir
hMailServer
Merak mail server
1C Bitrix

Рекомендуемые обновления для Ubuntu 18
• rvsiem-kernel - 18.21.4-212
• rusiem-kernel - 18.21.4-279
• rusiem-kb - 18.21.4-152
• rusiem-tools - 22.8-219
• rusiem-web - 18.22.09-3.7.1-817

Инциденты
• Оптимизация поиска по динамическим спискам
• Поддержка часовых поясов для режима Multitenancy

Агент
• Оптимизация функционала «Удаленные установки»

Доработаны парсеры
• Netlogon
• Kaspersky
• Infotecs
• Postgresql
• Auditd
• Windows EventLog
• Windows Task Scheduler
• Windows Power Shell
• Windows Message Tracking

Новые парсеры
• АудитПлюс
• СКУД SIGUR
• СЭД TESSA
• Nlnetlabs unbound
• Haproxy

Рекомендуемые обновления для Ubuntu 18
•        rvsiem-kernel - 18.21.4-208
•        rusiem-kernel - 18.21.4-268
•        rusiem-analytics - 21.0-205
•        rusiem-analytics-sa - 21.0-205
•        rusiem-database - 18.21.0-69
•        rusiem-kb - 18.21.4-129
•        rusiem-tools - 22.8-200
•        rusiem-web - 18.22.09-3.7.0-731
•        Списки и таблицы
•        Экспорт значений динамических списков (https://docs.rusiem.tech/sections/375)
•        Экспорт значений статических списков (https://docs.rusiem.tech/sections/373)
•        Динамические таблицы. Возможность ограничения длины поля text (https://docs.rusiem.tech/sections/362)
Агент
•        Оптимизация инсталлятора
•        Оптимизация FTP-модуля Корреляция
•        Автоматическое отключение правил корреляции (https://docs.rusiem.tech/sections/371)
•        Модуль машинного обучения – выявление DGA (https://docs.rusiem.tech/sections/282)
•        Возможность сравнения полей в условиях правила корреляции (https://docs.rusiem.tech/sections/282)
•        Регистронезависимый поиск по статическим спискам (https://docs.rusiem.tech/sections/282)
•        Поиск подстроки по значениям статических списков (https://docs.rusiem.tech/sections/282)
•        Оптимизация функции uniq.count Инциденты
•        Уведомления для инцидентов, созданных вручную
Дашборды
•        Возможность выполнения математических операций в виджетах Нормализация
•        Доработка логирования frs_server
•        Оптимизация блока output в парсерах
Доработаны парсеры
•        Dell
•        Oracle
•        Clearswift
•        Security code (vGate)
•        Kerio
•        VmWare
•        Linux
•        Kaspersky (KLMS)
•        Windows
•        IIS
•        Apache
•        Cisco firepower
• Kubernetes
Новые парсеры
•        HPE
•        Mikrolink
•        Gamma(krechet)
•        Caddy
•        NewSecurity
•        Moxa

Рекомендуемые обновления для Ubuntu 18
• rusiem-analytics 21.0-196
• rusiem-analytics-sa 21.0-196
• rusiem-database 18.21.0-59
• rusiem-kb 18.21.4-88
• rusiem-tools 21.5-183
• rusiem-web 18.22.07-3.6.0-642
• rvsiem-kernel 18.21.4-192
• rusiem-kernel 18.21.4-234
Инциденты
• История инцидентов
• Массовое изменение инцидентов
• Оптимизация динамических таблиц
Активы
• Динамические группы в активах
Лицензии
• Лицензирование RuSIEM IoC
Микросервисы
• Балансировщик для lselastic
Парсеры
• Avaya
• Windows
• Континент АПКШ
• Ideco
• Juniper
• Dovecot

Рекомендуемые обновления для Ubuntu 18
• rusiem-web 18.22.04-3.5.1-539
• rusiem-kb 18.21.4-79
• rusiem-kernel 18.21.4-224
Агент
• Новый модуль агента для сбора данных с АПКШ «Континент»
События
• Добавлена возможность раскрывать полностью окно с сырым событием
Списки
• Множественное добавление в статический список
Инциденты
• Оптимизация привязки событий для инцидентов, созданных вручную
• Оптимизация уведомлений по инцидентам
 Парсеры
• АПКШ «Континент»

Рекомендуемые обновления для Ubuntu 18
• rusiem-kb 18.21.4-78
• rusiem-kernel 18.21.4-222
• rusiem-tools 21.5-155
• rvsiem-kernel 18.21.4-185
• rusiem-web 18.22.04-3.5.0-518
Инциденты
• Звуковое оповещение о новом инциденте (https://docs.rusiem.tech/sections/172)
• Привязка событий к инцидентам, созданным вручную (https://docs.rusiem.tech/sections/367)
• Динамические таблицы (https://docs.rusiem.tech/sections/360)
• Автообновление таблицы инцидентов
Дашборды
• Настройка линейных виджетов в дашборде
• Переработан выбор периода и количество точек на графике, что дает возможность строить график, показывающий количество событий в секунду и проводить любые математические вычисления с параметром EPS Настройки микросервисов
• Добавлен дополнительный статус «modified» для конфигураций микросервисов Multitenancy
• Добавлено отображение наименование тенанта в отчетах
Доработаны парсеры
• Ideco UTM
• SecretNET 8
• DrWeb
• OSSEC
• Windows EventLog
• VmWare
• RedHat
• OpenVPN
• Apache
Новые парсеры
• Nextcloud
• Kubernetes
• Zelax

Рекомендуемые обновления для Ubuntu 18
- rusiem-web 18.22.01-3.4.0-414
- rusiem-analytics 21.0-172
- rusiem-analytics-sa 21.0-172
- rusiem-database 18.21.0-41
- rusiem-kb 18.21.4-60
- rusiem-kernel 18.21.4-194
- rusiem-tools 21.5-128
- rvsiem-kernel 18.21.4-157
Важно: в рамках данного релиза происходит перенос настроек всех сервисов в БД для управления из интерфейса системы
Инциденты
- Приоритет в оповещения об инциденте
- Добавлены категории инцидентов (https://docs.rusiem.tech/sections/340)
- Оптимизация удаления инцидентов Система
- Оптимизация раздела «Cистема»
- Управление подчиненных нод
- LsInput
- Доработка настройки буффера UDP
- Оптимизация ротации логов
- Сбор EPM системных демонов
- Обновление геобазы
Настройки
- Новый раздел "Настройка микросервисов" (https://docs.rusiem.tech/sections/349)
- Управление сертификатами (https://docs.rusiem.tech/sections/354)
Multitenancy
- Переключение режима ноды (https://docs.rusiem.tech/sections/350)
- Мультипоиск событий (https://docs.rusiem.tech/sections/351)
- Синхронизация правил корреляции (https://docs.rusiem.tech/sections/341)
- Синхронизация парсеров (https://docs.rusiem.tech/sections/178)
- Синхронизация симптомов (https://docs.rusiem.tech/sections/342)
- Состояние сервисов нод (https://docs.rusiem.tech/sections/188)
Доработаны парсеры
- FileLog (dns 2012)
- Windows EventLog
- Auditd
- Ideco UTM
- Ideco UTM mail gateway и ids
- OpenVPN
- VipNet
- Модули Ruagent
- Коммутаторы Dell Networking
– VmWare
- Infowatch Traffic Monitor
- Confident (Dallaslock)
- Kaspersky
Новые Парсеры
- Garda Monitor
- Garda DB
- Nagios
- Secret Net Studio 8.x Корреляция и симптомы
- Переработка структуры всех правил корреляции
- Обнаружение Log4shell
- Kaspersky

Рекомендуемые обновления для Ubuntu 18
rusiem-analytics_21.0-165
rusiem-analytics-sa_21.0-165
rusiem-database_18.21.0-29
rusiem-kb_18.21.4-47
rusiem-kernel_18.21.4-118
rusiem-tools_21.5-61
rusiem-web_18.21.10-3.3.0-254
rvsiem-kernel_18.21.4-91
Доработки
- симптоматика - https://docs.rusiem.tech/sections/307
- полностью переработанный интерфейс
- новый конструктор симптомов
- оптимизация и повышение производительности
- добавление возможности обогащения событий
Агент
- Новый модуль сбора информации об активе
- "System Info". https://docs.rusiem.tech/sections/299
- Оптимизация работы ioc агента
- Оптимизация модуля FileLog
- Обработка событий EventLog с некорректной датой
- Поддержка Win7 модулем NetStat
Аналитика
- Активы
- Скрипты для автозагрузки активов https://docs.rusiem.tech/sections/321
- Скрипты для автозагрузки уязвимостей
- Оптимизация раздела просмотра активов
- Обогащение активов из событий модуля агента "System Info" https://docs.rusiem.tech/sections/266
- Автосоздание активов при установленном агенте https://docs.rusiem.tech/sections/266
Система
- Оптимизация обработки событий NetFlow
- Обновлена база Geo данных
- Выгрузка правил корреляции на другие ноды
- Доработка выгрузки парсеров на другие ноды
Дашборды
- Оптимизация страницы отображения виджетов
- Новый виджет с последними инцидентами
Инциденты
- Возможность создания инцидентов вручную
- Доработка раздела ГосСопка
Корреляция
- Функционал расписаний запуска правил корреляций https://docs.rusiem.tech/sections/305
- Новый блок действий, выполняющийся после условий https://docs.rusiem.tech/sections/304
- Доработка выполнения скриптов с передачей параметров https://docs.rusiem.tech/sections/280
Архивация
- Повышение производительности JSON-архивации Источники
- Модуль для подключения 1С 8.3 https://docs.rusiem.tech/sections/302
Доработаны парсеры
- Bastion
- Juniper
- MSSQL Kaspersky
- Kaspersky syslog
- Windows
- Dallas Lock 8.0
- Suricata
- Yum
- FortiNet
- Linux (systemd-timesyncd,snmpd,sudo,pam)
- Monit
- Ruagent
- Windows Defender
- Apache
- IIS
- форматы NCSA, IIS
- postfix
Новые парсеры
- Trend Micro
- 1С syslog (CEF format)
– CentOS
- Red Hat IDM (freeIPA)
- Sophos XG Firewall SFVH
- Sophos Antivirus

Рекомендуемые обновления для Ubuntu 18
- rusiem-kb_18.21.4-32_amd64.deb
Доработаны парсеры
- ESET
- vGate
- Checkpoint
- SysInfo (RuAgent)
- модули RuAgent
- crontab
Новые парсеры
- парсер для SAN коммутатора IBM Storage Networking SAN24B
- парсер для коммутационных модулей IBM BladeCenter
- email Zimbra
- RedHat

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18
• rusiem-kernel_18.21.4-72_amd64.deb
• rusiem-database-18.21.0-18_amd64.deb
• rusiem-kb_18.21.4-29_amd64.deb
• rusiem-tools_21.5-18_amd64.deb
• rusiem-web_18.21.4-137_amd64.deb
• rusiem-analytics_21.0-79_amd64.deb
• rvsiem-kernel_18.21.4-64_amd64.deb

НОВОЕ В РЕЛИЗЕ
Настройки
1. Добавлена новая опция "Время хранения инцидентов"

Отчеты
1. Генерация отчетов в csv формате

Парсеры
1. Yum
2. Avaya
3. PTAFwifi Ubiquiti
4. named
5. SSHD
6. SSH (ruagent)
7. sysmon (ruagent)
8. system info (ruagent)

Правила корреляции
1. Windows: Подозрение на PrintNightmare (CVE-2021-1675)
2. Инструментальное сканирование Nikto
3. Sysmon: Credential Dumping

API
1. Добавлена новая функция для получения событий инцидента События
2. Архивация событий (https://docs.rusiem.tech/sections/296)

Агент
1. Оптимизация модуля агента ssh
2. Новый модуль Sysmon (https://docs.rusiem.tech/sections/298)
3. Новый модуль System Info (https://docs.rusiem.tech/sections/299)
4. Архивация событий при передаче ДОРАБОТКИ

Агент
1. Оптимизация модуля агента ssh
2. Улучшенное шифрование при передаче
3. Доработка формата лога модуля 1C

Корреляция
1. Оптимизация динамических списков
2. Доработка импорта и экспорта правил корреляций
3. Оптимизированы правила корреляции

Система
1. Оптимизация скрипта для сбора логов системы
2. Доработка по сбору логов Netflow.
3. Поддержка Netflow 5
4. Обновление переводов языковых файлов

Настройки
1. Обновление списка полей настроек системы

События
1. Доработано отображение событий
2. Оптимизация фильтров в настройках представления

API
1. Доработана фильтрация для получения списка инцидентов

Инциденты
1. Исправлена сортировка по датам
2. ГосСОПКА. Комментариев для всех статусов, кроме архивных
3. Доработан подсчет количества событий инцидентов

Аналитика
1. Дополнительные поля активов
2. Доработка для правил аналитики

ВАЖНО: Если у Вас отключено автоматическое обновление агента для его функционирования агент необходимо обновить

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18
• rusiem-kernel_18.21.4-43_amd64.deb
• rusiem-web_18.21.4-100_amd64.deb
• rusiem-kb_18.21.4-20_amd64.deb
• rusiem-analytics_21.0-68_amd64.deb
• rusiem-analytics-sa_21.0-68_amd64.deb
• rvsiem-kernel_18.21.4-40_amd64.deb

НОВОЕ В РЕЛИЗЕ

Парсеры
1. Network Manager
2. update-notifier.desktop
3. ntpd
4. dnsmasq
5. Keepalived
6. Cisco WLC
7. Klnagent
8. Allied telesis(switch)
9. failoverd
10. Arbor Networks
11. session watcher
12. Ubiquiti UniFi AP LR

Настройки
1. Возможность перемещения в дереве нод
2. Парсеры. Функция разбора xml (https://docs.rusiem.tech/sections/290)
3. Сохранение почтовых настроек

Актив
1. Новый раздел "Активы" (https://docs.rusiem.tech/sections/264): Новая база уязвимостей

Агент
1. Опция "События классифицированы" (https://docs.rusiem.tech/sections/146)

Корреляция
1. Включение/отключение статистики
2. Динамические списки (https://docs.rusiem.tech/sections/274)
3. Поддержка MITRE Att&ck

ДОРАБОТКИ
Инциденты
1. Оптимизация событий инцидентов
2. Оптимизация агрегированных полей событий

Настройки
1. LDAP. Оптимизация поиска
2. Доработка отображения настроек

Агент
1. Доработка модуля FileLog

Корреляция
1. Оптимизация демона Установка и обновление
1. Поддержка ElasticSearch 7

Система
1. Оптимизация вывода нагрузок

События
1. Оптимизирован функционал
2. Переработано отображение раздела

Парсеры
1. Доработка парсера CEF
2. Auditd
3. Monit
4. Cisco ASA
5. Windows EventLog
6. Apache
7. Linux
8. CheckPoint

В ближайшее время мы прекращаем поддержку RuSIEM на Ubuntu 14.

Начиная со следующего релиза, новый функционал будет выходить только для Ubuntu 18. Отметим, что все внедрения с октября 2020 года проводились уже на Ubuntu 18. С того же времени прекратились внедрения на Ubuntu 14. Всем клиентам, с актуальной (обновленной) версией RuSIEM на Ubuntu 14, мы готовы помочь осуществить миграцию на Ubuntu 18 без потери данных. Всем клиентам с бесплатной RvSIEM актуальной версии мы также готовы предоставить инструкцию по переносу данных на RvSIEM Ubuntu 18. Просим писать на ubuntu14@rusiem.com, если у Вас установлен актуальный RuSIEM/RvSIEM на Ubuntu 14 и есть необходимость миграции с сохранением данных. В письме просим указать название организации, установленную версию и задачи.

Техническая информация Для переноса данных из RuSIEM с Ubuntu 14 на Ubuntu 18 необходимо выделить столько же места, сколько сейчас занимают данные в RuSIEM (включая ElasticSearch для переноса событий). Также необходимо учитывать, что в ближайшее время мы переходим на ElasticSearch 7.12. Однако перенос событий (ElasticSearch) с Ubuntu 14 возможен только на такую же версию на Ubuntu 18 (т.е 5.6). Вы можете выбрать, переносить только инциденты и настройки и установить последний ElasticSearch, либо переносить все события и оставить ElasticSearch 5.6. ElasticSearch 7 дает определенный прирост в производительности, возможность новых типов запросов и более удобен в плане будущего функционала по архивации событий.

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14
• rusiem-database_14.21.0-5_amd64.deb
• rusiem-kb_14.21.4-5_amd64.deb
• rusiem-kernel_14.21.4-12_amd64.deb
• rusiem-web_14.21.4-20_amd64.deb
• rvsiem-kernel_14.21.4-12_amd64.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18
• rusiem-database_18.21.0-5_amd64.deb
• rusiem-kb_18.21.4-5_amd64.deb
• rusiem-kernel_18.21.4-12_amd64.deb
• rusiem-web_18.21.4-20_amd64.deb
• rvsiem-kernel_18.21.4-12_amd64.deb

НОВОЕ В РЕЛИЗЕ

Списки
1. Добавлена поддержка TTL (время жизни записей)

Новые парсеры
1. gnome-shell
2. php-fpm7.1
3. Asterisk
4. Radware Defence pro
5. ESET Endpoint Security
6. Kiwi solarwinds
7. FreeRADIUS
8. WAF Fortiweb
9. ДБО (Бифит)
10. Amavis
11. VMware ESXi

Новые правила корреляции
1. Rusiem IoC: обращение к вредоносному домену
2. Rusiem IoC: обращение к вредоносному IP

ДОРАБОТКИ

Агент
1. модуль Telnet
2. модуль SSH
3. Оптимизация работы агента
4. Установка агента через GPO
5. Оптимизация модуля EventLog
6. Доработано сохранение настроек агента
7. Функционал настройки модулей по умолчанию

Установка и обновление

1. Оптимизация и доработка инсталятора Rusiem
2. Оптимизация настроек демонов Rusiem

Настройки
1. Валидация формы добавления пользователя

Система
1. Доработка раздела "Система"
2. Функционал диагностики парсеров

Интеграции
1. Интеграция с Rusiem IoC
2. Интеграция с ГосСОПКА

Симптомы
1. Доработка создания симптомов и их категорий

Инциденты
1. Кастомные поля событий в инцидентах и уведомлениях
2. Страница инцидентов. Убран "Суммарный вес симптомов"

Корреляции
1. Оптимизация правил корреляции

Доработка по парсерам
1. Оптимизация парсеров формата CEF
2. Mikrotik: DNS, SMB, web-proxy
3. McAfee ESM
4. systemd
5. Windows Eventlog
6. Bastion
7. systemd-resolved
8. RuAgent
9. Cisco ASA-5 и ASA-6
10. dbus-daemon
11. sshd
12. PostgreSQL
13. Oracle Audit
14. PTAF
15. Paloalto
16. Linux postmaster
17. Juniper
18. DLP DeviceLock 8.3
19. Symantec Endpoint Protection
20. Clearswift Secure Email Gateway
21. D-LINK
22. Linix kernel
23. Cisco NGIPS
24. Fortinet FortiMail

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14

• rusiem-kb-5.7.1-72-trusty.deb
• rusiem-kernel-5.7.1-204-trusty.deb
• rusiem-web-5.7.1-229-trusty.deb
• rvsiem-kernel-5.7.1-135-trusty.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18:
• rusiem-kb-6.0.1-53-bionic.deb
• rusiem-kernel-6.0.1-132-bionic.deb
• rusiem-web-6.0.1-102-bionic.deb
• rvsiem-kernel-6.0.1-90-bionic.deb

НОВОЕ В РЕЛИЗЕ

События и инциденты
1. Получение истории ip, ipv6 или домена из интерфейса системы

Источники
1. Подключение парсеров через источники RuSIEM

Агент
1. Поддержка новых версий Oracle

Корреляция
1. Статистика по скорости работы правил корреляции

ДОРАБОТКИ

Установка и обновление
1. Доработан скрипт обновления

События и инциденты
1. Улучшение RuSIEM Audit - UID источника события
2. Оптимизация загрузки данных по инциденту

Источники
1. Оптимизация формы добавления источников

Дашборды
1. Отображение типов источников при редактировании виджета

Корреляция
1. Оптимизация ядра и функций корреляция
2. Доработка демона отправки электронной почты

Лицензия
1. Доработка интерфейса

Общие улучшения
1. Оптимизация работы с Elasticsearch

Доработки по парсерам
1. Sendmail
2. Linux
3. PgSQL
4. RuSIEM
5. RuAgent

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14
• rusiem-kernel-5.7.1-191-trusty.deb
• rvsiem-kernel-5.7.1-128-trusty.deb
• rusiem-web-5.7.1-223-trusty.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18:
• rvsiem-kernel-6.0.1-83-bionic.deb
• rusiem-kernel-6.0.1-120-bionic.deb
• rusiem-web-6.0.1-96-bionic.deb

ДОРАБОТКИ
1. Исправление и доработка установки Rvsiem и Rusiem
2. Оптимизация и исправление просмотра событий в разделе "События"

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14
• rusiem-kb-5.7.1-70-trusty.deb
• rusiem-web-5.7.1-222-trusty.deb
• rusiem-kernel-5.7.1-188-trusty.deb
• rvsiem-kernel-5.7.1-126-trusty.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18:
• rusiem-kb-6.0.1-51-bionic.deb
• rusiem-web-6.0.1-95-bionic.deb
• rusiem-kernel-6.0.1-117-bionic.deb
• rvsiem-kernel-6.0.1-81-bionic.deb
• rusiem-analytics-5.0.0-67-bionic.deb
• rusiem-analytics-sa-5.0.0-54-bionic.deb

НОВОЕ В РЕЛИЗЕ
Интеграция с ФинЦЕРТ - агент сбора IOC (инструкция по установке и настройке: https://files.rusiem.tech/nextcloud/s/imearjaKiiiiiE2)

ДОРАБОТКИ

Доработан скрипт расширенной технической поддержки

События
1. Оптимизация поиска по событиям

Источники
1. Исправление удаления сторонних источников

Инциденты
1. удаление старых инцидентов
2. поиска событий по событиям инцидентов

Аналитика
1. Оптимизация Baseline, повышена стабильность

Корреляции
1. Оптимизация и доработка системных правил

Парсеры
1. Kaspersky
2. Usergate
3. IDS HS
4. SSHD
5. Postgresql
6. Iptables
7. Linux
8. Lsfilter
9. D-LINK

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14
• rusiem-kb-5.7.1-68-trusty.deb
• rusiem-web-5.7.1-211-trusty.deb
• rusiem-kernel-5.7.1-170-trusty.deb
• rvsiem-kernel-5.7.1-124-trusty.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18
• rusiem-kb-6.0.1-49-bionic.deb
• rusiem-web-6.0.1-84-bionic.deb
• rusiem-kernel-6.0.1-101-bionic.deb
• rvsiem-kernel-6.0.1-79-bionic.deb
• rusiem-analytics-5.0.0-66-bionic.deb

ДОРАБОТКИ

События
1. Оптимизация и исправления по фильтрам

Инциденты
1. Исправления при просмотре инцидентов

Агент
1. Доработка настроек агента
2. Дублирование событий на syslog коллектор

Аналитика
1. Оптимизация Baseline

Отчеты
1. Валидация для отчетов по инцидентам

Система
1. Доработки по автоматическому обновлению

Парсеры
1. Bastion
2. Microtik
3. Clearswift Secure Email Gateway
4. McAfee ESM
5. Apache

Корреляции
1. Оптимизация и доработка системных правил
2. Пакет правил Bastion

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14
• rvsiem-kernel-5.7.1-121-trusty.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18
• rvsiem-kernel-6.0.1-76-bionic.deb

ДОРАБОТКИ
Изменен адрес репозитория для RvSIEM

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14
• rusiem-kb-5.7.1-54-trusty.deb
• rusiem-kernel-5.7.1-137-trusty.deb
• rusiem-web-5.7.1-189-trusty.deb
• rvsiem-kernel-5.7.1-102-trusty.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18
• rusiem-kb-6.0.1-35-bionic.deb
• rusiem-kernel-6.0.1-69-bionic.deb
• rusiem-web-6.0.1-63-bionic.deb
• rvsiem-kernel-6.0.1-55-bionic.deb

ДОРАБОТКИ

Модуль "Система"
1. Возможность управления обновлением системы через интерфейс.
2. Отображение статуса наличия обновлений и его описание.

Аналитика
1. Новая версия аналитики (standalone) для Ubuntu 18

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14
• rusiem-kb-5.7.1-53-trusty.deb
• rusiem-kernel-5.7.1-131-trusty.deb
• rusiem-web-5.7.1-181-trusty.deb
• rvsiem-kernel-5.7.1-100-trusty.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18
• rusiem-kb-6.0.1-34-bionic.deb
• rusiem-kernel-6.0.1-63-bionic.deb
• rusiem-web-6.0.1-55-bionic.deb
• rvsiem-kernel-6.0.1-52-bionic.deb

ДОРАБОТКИ

Модуль "Система"
1. Исправлено отображения состояния микросервисов
2. Добавлена справочная информация по функционалу.
3. Добавлена информация о текущей загрузки ноды.
4. Добавлен раздел "Хранилище" - состояние нод хранения.
5. Добавлен раздел "Ноды" - Cтатус подчиненных серверов.

Исправление для интеграции с Oracle - "Oracle DBA Audit logs"

Парсеры
1. Парсер DrWeb
2. Парсер Netgate
3. Парсер микросервисов Rusiem
4. Парсер Cisco
5. Парсер Bastion
6. Парсер Mikrotik
7. FRS - исправление обновления статусов парсеров

Правила корреляции
1. Оптимизация и доработка системных правили
2. Пакет правил обнаружения Mimikatz
3. Правила обнаружения Zerologon (CVE-2020-1472)
4. Правила обнаружения BlueKeep (CVE-2019-0708)
5. Правила обнаружения Kali Linux
6. Правила обнаружения инструментов удаленного администрирования (TeamViewer, RMS, Ammyy Admin и др)
7. Правила обнаружения инструментов взлома PWDump 8. Правила проверки активации Windows (отсутствие активации, сбой активации)

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14
• rusiem-kb-5.7.1-50-trusty.deb
• rusiem-kernel-5.7.1-130-trusty.deb
• rvsiem-kernel-5.7.1-97-trusty.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18:
• rusiem-kb-6.0.1-31-bionic.deb
• rusiem-kernel-6.0.1-62-bionic.deb
• rvsiem-kernel-6.0.1-49-bionic.deb

НОВОЕ В РЕЛИЗЕ

Парсеры
1. Docker
2. S-terra
3. АРМ КБР-Н

Правила корреляции
1. Правила выявления инструментария злоумышленников
2. Правила выявления сканеров уязвимостей в локальной сети
3. Правила мониторинга состояния RuSIEM
4. Правила выявления сканирования сервисов в сети Интернет из Локальной сети
5. Правила мониторинга состояния ESXi
6. Правила выявления EternalBlue (MS17-010)
7. Правила обнаружения переполнения буфера Windows

События
1. Дополнительные группы отображения полей событий

ДОРАБОТКИ

Парсеры
1. Windows
2. Kaspersky Security for mail server
3. DrWeb

Общие улучшения
1. Оптимизация работы с Elasticsearch
2. Оптимизация и доработка системных правили

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14
• rusiem-database-5.7.1-18-trusty.deb
• rusiem-kb-5.7.1-48-trusty.deb
• rusiem-web-5.7.1-178-trusty.deb
• rusiem-kernel-5.7.1-129-trusty.deb
• rvsiem-kernel-5.7.1-96-trusty.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18:
• rusiem-database-6.0.1-12-bionic.deb
• rusiem-kb-6.0.1-29-bionic.deb
• rusiem-web-6.0.1-52-bionic.deb
• rusiem-kernel-6.0.1-61-bionic.deb
• rvsiem-kernel-6.0.1-48-bionic.deb

ДОРАБОТКИ

Модуль "Взаимосвязи"
1. Справочная информация по разделу

Модуль "Интеграция с R-Vision"
1. Двусторонняя синхронизация статусов
2. Дополнительные поля: - Source & Destination IP-адрес / FQDN, - Login, Email, Web-домен, URI , Hash - ссылка на инцидент Rusiem - идентификатор коллектора

Модуль "Парсеры"
1. Изменение интерфейса
2. Отображения статуса активации парсеров
3. Возможность синхронизации парсеров между центральным модулем и коллектором

Модуль "События"
1. Изменение интерфейса
2. Добавлен фнукционал быстрого перехода в нужный временной диапазон
3. Настраиваемая группировка событий при отображении

Общие улучшения
1. Оптимизация работы с Elasticsearch

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14
• rusiem-kb-5.7.1-46-trusty.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18:
• rusiem-kb-6.0.1-27-bionic.deb

НОВОЕ В РЕЛИЗЕ

Профиль сбора для агента
1. DrWeb - интеграция с DrWeb через подключение к MSSQL ДОРАБОТКИ

Парсеры
1. Fortigate
2. Cisco
3. Qtech
4. Ptaf
5. Filelog
6. Bastion
7. DrWeb
8. Исправление - не сбрасываются статусы системных парсеров при обновлении

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14
• rusiem-database-5.7.1-15-trusty.deb
• rusiem-kb-5.7.1-41-trusty.deb
• rusiem-web-5.7.1-173-trusty.deb
• rusiem-kernel-5.7.1-126-trusty.deb
• rvsiem-kernel-5.7.1-94-trusty.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18:
• rusiem-database-6.0.1-9-bionic.deb
• rusiem-kb-6.0.1-22-bionic.deb
• rusiem-web-6.0.1-47-bionic.deb
• rusiem-kernel-6.0.1-58-bionic.deb
• rvsiem-kernel-6.0.1-46-bionic.deb

НОВОЕ В РЕЛИЗЕ

Парсеры
1. Bastion
2. Kaspersky Secure Mail Gateway
3. Juniper
4. Anacron

ДОРАБОТКИ

Функционал
1. Доработка в разделе "Корреляция": возможность отслеживания статуса активации правила корреляции
2. Доработки в разделе "Интеграции": передача ссылки на инцидент в R-Vision, передача информации об активах в рамках инцидента в R-Vision
3. Доработка в разделе "Инциденты": пользователь с определенными правами имеет возможность удалить инцидент по кнопке из раздела "Инциденты"
4. Доработка в разделе "События": Добавлена возможность переключения между событиями клавишами ↑ и ↓
5. Оптимизация записи данных в Elasticsearch

Парсеры
1. Squid
2. Checkpoint
3. Palo Alto
4. Касперский
5. Cisco
6. Bind (named)
7. sshd
8. события и демоны RuSIEM
9. su
10. sshd
11. Linux kernel

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 14
• rusiem-kb-5.7.1-30-trusty.deb
• rusiem-web-5.7.1-167-trusty.deb
• rusiem-kernel-5.7.1-121-trusty.deb
• rvsiem-kernel-5.7.1-90-trusty.deb

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ ДЛЯ UBUNTU 18
• rusiem-web-6.0.1-41-bionic.deb
• rusiem-kb-6.0.1-12-bionic.deb
• rusiem-kernel-6.0.1-53-bionic.deb
• rvsiem-kernel-6.0.1-43-bionic.deb

НОВОЕ В РЕЛИЗЕ
1. Установка на Ubuntu 14 через Proxy.
2. В общих настройках RuSIEM добавлена настройка таймаута сессии
3. Добавлены отчеты по инцидентам и по задачам инцидентов.

ДОРАБОТКИ
1. Исправлена ошибка. При назначении задачи внутри инцидента не корректно формировалась ссылка
2. Исправлена ошибка при закрытии задачи внутри инцидента
3. Исправлена ошибка при создании инцидентов.
4. Оптимизация скрипта обновления. (custom_config=1 для сохранения скрипта обновления)
5. Доработана интеграция c R-Vision. Отображение полей событий и объектов группировки
6. Доработки в разделе списков (Пользовательский тип по умолчанию)
7. Доработки по парсерам:
- Linux
- Cisco ASA
- PostgreSQL
- veeam
- Brocade
- VipNet Coordinator
- события и демоны RuSIEM 8.

Оптимизации по парсерам:
- nginx
- Касперский
- Panda
- Oracle audit
- netgate
- iptables
- paloalto
- cef

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ
• rusiem-kb-5.7.1-25-trusty.deb для коммерческой версии и для свободно распространяемой версии
• rusiem-kernel-5.7.1-113-trusty.deb для коммерческой версии
• rusiem-web-5.7.1-160-trusty.deb для коммерческой версии и для свободно распространяемой версии
• rvsiem-kernel-5.7.1-85-trusty.deb для свободно-распространяемой версии

НОВОЕ В РЕЛИЗЕ

Парсеры
1. Добавлены новые парсеры
- FortiGate FortiMail
- Netgate
- Infotecs VipNet Coordinator
- Bind
- Brocade

ДОРАБОТКИ

Интеграция с R-Vision
1. Добавлена поддержка режима multitenancy. А также добавлена возможность указать группу R-Vision по умолчанию, куда будут добавляться инциденты Rusiem

Корреляция
1. Добавлена возможность множественного выделения правил корреляции и правил аналитики для активации, деактивации и удаления
2. Исправление для функции uniq.count в правилах корреляции

RuSIEM Agent
1. Исправление фильтра по event.id в настройках EventLog для режима evt

Парсеры
1. Исправлен парсер classified
2. Доработаны парсеры
- Cisco ASA
- Cisco firepower SFIMS
- Fortinet FortiGate
- iptables
- cron/crond
- Nginx
- fail2ban
- postfix
- arpwatch
- arpscan
- monit

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ
• rusiem-kb-5.7.1-24-trusty.deb для коммерческой версии и для свободно распространяемой версии
• rusiem-kernel-5.7.1-108-trusty.deb для коммерческой версии
• rusiem-web-5.7.1-153-trusty.deb для коммерческой версии и для свободно распространяемой версии
• rvsiem-kernel-5.7.1-81-trusty.deb для свободно распространяемой версии

НОВОЕ В РЕЛИЗЕ

Парсеры
1. Добавлен парсер Panda
2. Добавлен парсер БОСС-кадровик
3. Добавлен парсер Synology
4. Добавлен парсер Staffcop
5. Добавлен парсер Infotecs TIAS

Функционал
1. frs_server. Добавлена возможность (codec) пересылки сырого события
2. frs_server. Добавлена возможность пересылки событий по UDP
3. Добавлена интеграция с R-Vision

ДОРАБОТКИ

Функционал
1. sfilter. Исправления для работы со списками (CIDR)
2. lsfilter. Улучшено выполнение правил корреляции
3. Доработки API для функции получения событий по ID инцидента

Rusiem агент
1. Модуль Eventlog: Улучшена работы с журналами Forwarding Events
2. Модуль Eventlog: Оптимизирована работа агента для больших потоков событий

Парсеры
1. Доработан парсер PTAF
2. Доработан парсер Fortigate
3. Доработан парсер Cisco ASA и PIX
4. Доработан парсер Windows
5. Доработан парсер Nginx


Прочее
1. Оптимизированы системные правила корреляции

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ
• rusiem-web-5.7.1-143-trusty.deb для коммерческой версии и для свободно распространяемой версии
• rusiem-kernel-5.7.1-105-trusty.deb для коммерческой версии
• rvsiem-kernel-5.7.1-79-trusty.deb для свободно-распространяемой версии

НОВОЕ В РЕЛИЗЕ
1. frs_server. Поддержка proxy для модуля AWS
2. Косметические правки для раздела "Система"
3. Косметические правки для раздела "Парсеры"
4. Добавлен новый парсер Сisco BGP 5. Обновлены парсеры auditd, ptaf, openvpn

ДОРАБОТКИ
1. frs_server. исправлена функция kv
2. Для раздела "Событий" исправлена ошибка группировки для случаев, когда top=0.
3. Исправлена ошибка экспорта событий, для случаев, когда в фильтре используются русские буквы
4. Исправлена ошибка для разделов списков, при удалении списка не производилась проверка на использовании его в корреляциях
5. Исправлены и перепроверены логирование всех действий пользователя
6. Исправления для переводов интерфейса для англоязычной версии
7. Доработан парсер Windows

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ:
• rusiem-web-5.7.1-136-trusty.deb для коммерческой версии и для свободно распространяемой версии
• rusiem-kb-5.7.1-23-trusty.deb для коммерческой версии и для свободнораспространяемой версии
• rusiem-kernel-5.7.1-92-trusty.deb для коммерческой версии
• rvsiem-kernel-5.7.1-66-trusty.deb для свободно-распространяемой версии

ДОРАБОТКИ

1. Доработан API. Добавлен новый метод для получения событий по идентификатору инцидента
2. Доработано отображение события
3. Добавлен новый парсер openvpn
4. Добавлен новый парсер oracle audit
5. Доработан парсер audit
6. Доработан парсер fortinet
7. Доработан парсер vmware
8. Доработан парсер cisco

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ
• rusiem-web-5.7.1-133-trusty.deb для коммерческой версии и для свободно распространяемой версии
• rusiem-kernel-5.7.1-91-trusty.deb для коммерческой версии
• rvsiem-kernel-5.7.1-65-trusty.deb для свободно-распространяемой версии

ДОРАБОТКИ

1. Доработана установка RuSIEM для ubuntu 18, а также исправлены некоторые ошибки. Также добавлена установка через proxy
2. Добавлена возможность импорта фидов Касперского
3. Историческая корреляция. Есть возможность как ручного, так и автоматического запуска
4. Добавлен поиск списков по UUID
5. Добавлен парсер UserGate
6. Доработан парсер auditd
7. Доработан парсер Cisco Catalist
8. Доработан интерфейс для работы с большими списками
9. Доработаны в разделе "Настройки" параметры внешнего почтового сервера.
10. Доработан API. Добавлена возможность получать некодированные многобайтовые символы unicode (по умолчанию они кодируются как \uXXXX)
11. Доработка записи событий в redis. А именно - добавлена проверка размера списка при записи в redis
12. Исправление для модуля РКН, решена проблема с утечкой памяти 13. Исправлена ошибка для timezone c переводом на летнее/зимнее время

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ
• rusiem-web-5.7.1-113 для коммерческой версии и для свободно распространяемой версии
• rusiem-kb-5.7.1-18-trusty.deb для коммерческой версии и для свободно распространяемой версии
• rusiem-kernel-5.7.1-76-trusty.deb для коммерческой версии
• rvsiem-kernel-5.7.1-48-trusty.deb для свободно распространяемой версии

НОВОЕ В РЕЛИЗЕ

Syslog_mapper
1. Блоки для AttackKiller, kerio (события от них отправляются на отдельный парсер)
2. Добавлен еще один вариант событий от cisco ASA
3. Блок для cisco Nexus (дальнейшая обработка в парсере cisco)

Парсер positive.conf для нормализации событий Positive Technologies Application Firewall Filter_linux
1. Добавлена нормализация для dpkg, arpwatch, bash, ZyXEL (логи dhcp)

Filter_cisco
1. Добавлена нормализация http.url и http.referrer
2. Добавлены дополнительные ключи из событий
3. Блок нормализации для cisco Nexus
Парсер для FortiNet с большим количеством изменений
1. Изменено условие входа в блок для FortiGate
2. Добавлено большое число полей из событий 3. Расширен блок grok, убрано несколько условий

ДОРАБОТКИ
1. Скорректированы определения FortiGate (добавлены версии 30E/60E/VM)
2. Скорректированы ошибки в названии поля [iface][inbound]
3. Скорректированы ошибки с отсутствием типа источника
4. Скорректирована нормализация iis для filelog.conf
5. Скорректирована ошибка установки (отсутствие файла pg_hba.conf)
6. Скорректированы ошибки в FRS.
7. Скорректированы ошибки в update-hourly.sh

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ
• rusiem-web-5.7.1-115 для коммерческой версии и для свободно распространяемой версии
• rusiem-kb-5.7.1-20-trusty.deb для коммерческой версии и для свободно распространяемой версии
• rusiem-kernel-5.7.1-79-trusty.deb для коммерческой версии
• rvsiem-kernel-5.7.1-53-trusty.deb для свободно-распространяемой версии

НОВОЕ В РЕЛИЗЕ
1. Добавлена возможность импорта списка из файла по UUID через консоль
2. Поддержка протокола netflow
3. Дашборды. Добавлено подтверждение при удалении
4. Добавление системных правил корреляций нарушения политики по infotecs-ids
5. Добавлен системный парсер netflow.conf
6. Доработаны права для Аналитических отчетов. Аналитические отчеты теперь недоступны для RvSIEM и RuSIEM без аналитики

ДОРАБОТКИ
1. Исправлена ошибка для раздела Дашборды, а именно неправильно формировалось название дашборда для неактивного языка
2. Исправлена ошибка: при открытии карточки инцидента открываются Json данные
3. Симптомы. Исправлено отображение таблицы для симптомов с длинными условиями
4. Исправлено отображение по состояниям модулей агента
5. Исправление для шаблона модуля агента "Microsoft Windows RDP journals"
6. Исправления для kaspersky в парсере filter_windows.conf В ближайшее время готовим релиз на 18 версии Ubuntu

РЕКОМЕНДУЕМЫЕ ОБНОВЛЕНИЯ
• rusiem-web-5.7.1-121-trusty.deb для коммерческой версии и для свободно распространяемой версии
• rusiem-kb-5.7.1-21-trusty.deb для коммерческой версии и для свободно распространяемой версии
• rusiem-kernel-5.7.1-82-trusty.deb для коммерческой версии • rvsiem-kernel-5.7.1-57-trusty.deb для свободно-распространяемой версии

НОВОЕ В РЕЛИЗЕ

Веб-интерфейс
1. Лицензия. Поддержка лицензий нод.
2. Инциденты. Поиск по комментария и id инцидента
3. Исправление по шрифтам. Была невекторная страница, из-за чего были шрифты мелкие.

ls демоны
1. оптимизация корреляции для работы с большими списками (пока без доработки интерфейса. интерфейс оптимизируем к следующему релизу).

Kernel
Парсеры
1. Обновлен парсер cisco/kerio
Поля событий
1. Добавлено поле в инциденты (dst.hostname.
Системные справочники
1. Добавлен продукт arp-scan в системные

ДОРАБОТКИ

Веб-интерфейс
1. Раздел событий. Исправлена ошибка с отключающимся фильтром при нажатии на название симптома в событиях
2. Исправлена ошибка при переходе из дашбордов с виджета "таблица" в события, не отображались данные
3. Раздел событий. Исправление ошибки. При экспорте в CSV не обрабатывались 100 записей из выборки, а если их меньше 100, выгрузка была пустой (только заголовки).
4. Исправлена ошибка в дашбордах, в английской локализации отображался тип виджета Text.
5. Поля событий. Исправлена ошибка, при сортировке по полю Тип объекта
6. Исправлена ошибка, когда в событиях на графике при группировке по двум полям не корректно отображаются названия групп под графиком
7. Исправление ошибки, которая возникает при некоторых расширениях экрана. Меню уходило вместе со скроллингом страницы.

ls демоны
1. Исправление ошибки генерации пустых инцидентов

Готов релиз на 18 версии Ubuntu. Желающим пройти тестовые установки просьба обращаться на info@rusiem.com

Обновляем на ближайшие полгода дорожную карту. Пожелания по доработке принимаются на почту info@rusiem.com – у всех есть шансы быть услышанными и большая вероятность, что именно ваши потребности включим в ближайшую дорожную карту