Notas de la versión: novedades de Flowmon 12.2 y ADS 12.1

International IT
7 de fev. de 2023
5 min de leitura

Progress acaba de lanzar nuevas actualizaciones para las soluciones Flowmon y Anomaly Detection System (ADS). Consulte los principales cambios y mejoras a continuación.

Flowmon 12.2

Acceso remoto compatible con FIPS

Se ajustaron los conjuntos de cifrado para el acceso remoto a los dispositivos Flowmon para cumplir con los requisitos de FIPS (Estándar federal de procesamiento de información). Aunque FIPS comenzó como un estándar del gobierno de los EE. UU. para especificar niveles criptográficos de seguridad, su validación de la privacidad y la seguridad ha llevado a su adopción en todo el mundo.

La compatibilidad con FIPS en Flowmon 12.2 incluye:

Acceso SSH a un dispositivo Flowmon (Probe y Collector) protegido por un algoritmo de seguridad aprobado por FIPS.
Acceso web (HTTPS) a un dispositivo Flowmon (Probe y Collector) protegido por un algoritmo de seguridad aprobado por FIPS.

Visibilidad del protocolo QUIC

En esta versión se ha agregado soporte para QUIC (Conexión a Internet UDP rápida). Los profesionales de TI pueden identificar el tráfico QUIC en su red y extraer información SNI (Indicación de nombre de servidor) como están acostumbrados a hacer con el tráfico de Internet heredado. Esto es cada vez más común para acceder a sitios como motores de búsqueda, sitios de transmisión de video o desde dispositivos móviles donde las demoras pueden ser un problema importante. QUIC está deshabilitado de manera predeterminada en Flowmon 12.2, pero los administradores pueden habilitarlo en la configuración avanzada de los puertos de monitoreo.

Nuevo widget de tabla para mapas de topología

Flowmon 12.2 proporciona la vista alternativa de los mapas de topología en forma de tabla, que muestra los cuellos de botella del ancho de banda y las altas utilizaciones de enlaces. La utilización se calcula a partir del ancho de banda durante un período de tiempo determinado, una capacidad determinada y se expresa como un porcentaje. Si bien la vista de mapa de topología es la opción preferida para los tableros, la vista de tabla proporciona una comprensión integral de la utilización del ancho de banda en los informes.

Mejoras y correcciones de Arquitectura Distribuida (Distributed Architecture - DA)

Trabajar con grandes volúmenes de registros no era intuitivo y era problemático en versiones anteriores de Flowmon. En la versión 12.2, varias mejoras de DA facilitan mucho la descarga, la transferencia y el análisis de grandes volúmenes de registros.

Las principales mejoras son:

El acceso asíncrono permite que el procesamiento y la descarga de registros se realicen en segundo plano con notificaciones para cuando los registros estén listos para acceder.
Los últimos registros disponibles se recopilan y se puede acceder a ellos en un solo lugar.
La interfaz de usuario ahora muestra la fecha de los registros más recientes.
Los registros se almacenan en una ubicación más adecuada para evitar sobrecargar el directorio de inicio en el disco.
Se pueden seleccionar las instancias de DA desde las que se descargan los registros.
Los errores de excepción del registro se mejoran en todos los ámbitos.

Además de las mejoras en el procesamiento de registros, se mejoró la experiencia de DA:

El mismo ID global identifica a todos los usuarios en varias instancias de DA de una manera compatible con versiones anteriores que no rompe los módulos existentes ni la API REST.
Informe de errores mejorado cuando hay un problema de instalación en las unidades DA. El proceso de instalación se detendrá e informará un código de error específico cuando haya una unidad sin asignar en la topología DA. Esto evitará implementaciones incompletas debido a la falta de instalación de unidades individuales.

VEJA TAMBÉM: Monitoramento de Fluxo de Rede: Vantagens e Benefícios

Anomaly Detection System (ADS) 12.1

Nuevo método de detección para el tráfico DoH

DNS sobre HTTPS (DoH) plantea un riesgo de seguridad sustancial para las empresas al pasar por alto los servidores DNS corporativos y los servicios basados en DNS para filtrar el tráfico potencialmente malicioso, dejando los dispositivos desprotegidos. En ADS 12.1, presentamos un nuevo método de detección para identificar e informar sobre el uso de DNS sobre HTTP (DoH) por parte de dispositivos de red individuales, lo que permite a los administradores de red identificar y ubicar dispositivos específicos mediante el protocolo DNS encriptado. Esto hace que sea mucho más fácil reducir el riesgo general y detectar actividades o comunicaciones maliciosas que los ciberdelincuentes intentan ocultar mediante DNS encriptado.

Mejoras a los métodos de detección existentes

RDPDICT : Este método de detección destaca los ataques en el servicio de Protocolo de escritorio remoto (RDP) ampliamente utilizado para obtener acceso no autorizado a un dispositivo o servicio mal configurado. Este método ha sido revisado en la última versión para detectar ataques contra las versiones actuales y recientes de los protocolos RDP. Los nuevos parámetros también permiten a los administradores ajustar la detección para su entorno.
TEAMVIEWER : Este es un método utilizado para detectar el uso de aplicaciones de acceso remoto. La precisión aumentará debido al uso de Números de Sistema Autónomo (ASN) como parte del análisis.
DNSANOMALY : El submétodo ForbiddenServer dentro de DNSANOMALY ahora permite excluir servidores DNS locales. Esto reducirá la cantidad de falsos positivos cuando un servidor DNS local se comunica con servidores DNS públicos.
BLACKLIST: El formato de la lista negra de IP se ha ampliado para incluir un campo de comentarios. Este campo opcional proporciona información adicional sobre las direcciones IP incluidas en la lista negra y ayuda a los usuarios a comprender el contexto, así como a documentar por qué una dirección IP en particular está en la lista.

Análisis y flujos de trabajo mejorados

Hemos simplificado las actividades requeridas dentro del Centro de Monitoreo de Flowmon (FMC) al investigar un evento. En versiones anteriores, un proceso manual requería que los investigadores copiaran el filtro del ADS y lo pegaran en el FMC. Luego, tenía que encontrar manualmente los segmentos de tráfico relevantes en el FMC, seleccionar y confirmar el canal y la franja horaria, aplicar el filtro deseado y comenzar a analizar los datos del evento.

Ahora todas estas tareas se agrupan en una pantalla de análisis de FMC preconfigurada donde puede comenzar a trabajar de inmediato.

Exemplo mostrando o link direto na evidência do evento. — Ejemplo que muestra el vínculo profundo en la evidencia del evento.

Además, se han ampliado las columnas disponibles que el usuario puede configurar en sus visualizaciones. Los ingenieros de ciberseguridad se enfrentan al problema de priorizar y comprender el estado de los eventos existentes en la página de Análisis ADS y Eventos ADS, mientras que la información sobre el estado está oculta en los detalles del evento. En el pasado, un usuario a menudo necesitaba evitar esto presionando cada evento por separado, lo que tomaba mucho tiempo.

Para mejorar el flujo de trabajo, los usuarios ahora pueden personalizar columnas con instancias de métodos, comentarios y categorías en la vista de IP en la página Análisis.

Los usuarios también pueden agregar nuevas columnas con las pestañas 'Lista simple', 'Por MITRE' y 'Por anfitriones' en la página de eventos.

Exemplo de um ataque de força bruta visualizado na guia “By MITRE ATT&CK” — Ejemplo de un ataque de fuerza bruta visto en la pestaña "Por MITRE ATT&CK"

Entre en contacto con International IT para obtener más detalles y ejecutar una prueba de la solución Flowmon en su entorno.

Descubra nuestras soluciones avanzadas, robustas y seguras para NOC y SOC , Zero Trust , Firewalls de última generación , LGPD , Hardware , Monitoreo de red , Transferencia de archivos administrados , Consultoría de TIC , Capacitación , Soporte de aplicaciones , Subcontratación , Licencias generales y Mesa de ayuda .