top of page
  • Foto do escritorInternational IT

Release Notes: Novidades do Flowmon 12.2 e do ADS 12.1

Atualizado: 30 de nov. de 2023

A Progress acaba de lançar novas atualizações das soluções Flowmon e do Anomaly Detection System (ADS). Confira as principais alterações e melhorias abaixo.




Flowmon 12.2


Acesso remoto compatível com FIPS


Os conjuntos de cifras para acesso remoto aos dispositivos Flowmon para atender aos requisitos do FIPS (Federal Information Processing Standard) foi ajustado. Embora o FIPS tenha começado como um padrão do governo dos EUA para especificar níveis criptográficos de segurança, sua validação de privacidade e segurança levou à sua adoção em todo o mundo.


O suporte FIPS no Flowmon 12.2 inclui:

  • Acesso SSH a um dispositivo Flowmon (Probe e Collector) protegido por um algoritmo de segurança aprovado pelo FIPS.

  • Acesso pela Web (HTTPS) a um dispositivo Flowmon (Probe e Collector) protegido por um algoritmo de segurança aprovado pelo FIPS.


Visibilidade do Protocolo QUIC


O suporte para QUIC (Quick UDP Internet Connection) foi adicionado nesta versão. Os profissionais de TI podem identificar o tráfego QUIC em sua rede e extrair informações SNI (Server Name Indication) como estão acostumados a fazer para o tráfego legado da internet. Isso é cada vez mais comum para acesso a sites como mecanismos de pesquisa, sites de streaming de vídeo ou de dispositivos móveis, onde os atrasos podem ser um problema significativo. O QUIC é desativado por padrão no Flowmon 12.2, mas os administradores podem ativá-lo nas configurações avançadas das portas de monitoramento.


Visibilidade do protocolo QUIC.
Visibilidade do protocolo QUIC.

Novo widget de tabela para mapas de topologia


O Flowmon 12.2 disponibiliza a visualização alternativa de mapas de topologia na forma de uma tabela, mostrando congestionamentos de largura de banda e altas utilizações de link. A utilização é calculada a partir da largura de banda para determinado período de tempo, dada capacidade e expressa em porcentagem. Embora a visualização do mapa de topologia seja a opção preferencial para painéis, a visualização de tabela oferece uma compreensão abrangente da utilização da largura de banda nos relatórios.



Melhorias e correções da Arquitetura Distribuída (Distributed Architecture - DA)


Trabalhar com grandes volumes de logs era pouco intuitivo e problemático nas versões anteriores do Flowmon. Na versão 12.2, várias melhorias no DA tornam o download, a transferência e a análise de grandes volumes de logs muito mais fáceis.


As principais melhorias são:

  • O acesso assíncrono permite que o processamento e o download de logs possa ocorrer em segundo plano com notificações para quando os logs estiverem prontos para acesso.

  • Os logs disponíveis mais recentes são reunidos e acessíveis em um único local.

  • A IU agora mostra a data dos logs mais recentes.

  • Os logs são armazenados em um local mais adequado para evitar a sobrecarga do diretório inicial no disco.

  • As instâncias DA das quais os logs são baixados podem ser selecionadas.

  • Os erros de exceção de registro são aprimorados em toda a linha.


Além das melhorias no processamento de log, a experiência DA foi aprimorada:

  • O mesmo ID global identifica todos os usuários em várias instâncias DA de uma forma compatível com versões anteriores que não quebre os módulos existentes ou a API REST.

  • Relatório de erro aprimorado quando há um problema de instalação em unidades DA. O processo de instalação irá parar e relatar um código de erro específico quando houver uma unidade não atribuída na topologia DA. Isso evitará implantações incompletas devido à falha na instalação de unidades individuais.



Anomaly Detection System (ADS) 12.1


Novo método de detecção para tráfego DoH


O DNS sobre HTTPS (DoH) representa um risco substancial para a segurança das empresas, ignorando servidores DNS corporativos e serviços baseados em DNS para filtrar o tráfego potencialmente malicioso, deixando os dispositivos desprotegidos. No ADS 12.1, introduzimos um novo método de detecção para identificar e relatar o uso de DNS sobre HTTP (DoH) por dispositivos de rede individuais, permitindo que os administradores de rede identifiquem e localizem dispositivos específicos usando o protocolo DNS criptografado. Isso torna muito mais fácil reduzir o risco geral e detectar atividades ou comunicações maliciosas que os cibercriminosos tentam ocultar usando DNS criptografado.


Melhorias nos métodos de detecção existentes


  • RDPDICT: Este método de detecção destaca ataques no serviço Remote Desktop Protocol (RDP) amplamente usado para obter acesso não autorizado a um serviço ou dispositivo mal configurado. Este método foi revisado na versão mais recente para detectar ataques contra as versões atuais e recentes dos protocolos RDP. Novos parâmetros também permitem que os administradores ajustem a detecção para seus ambientes.

  • TEAMVIEWER: Este é um método usado para detectar o uso do aplicativo de acesso remoto. A precisão aumentará devido ao uso de números de sistema autônomo (ASNs) como parte da análise.

  • DNSANOMALY: O submétodo ForbiddenServer dentro do DNSANOMALY agora permite a exclusão de servidores DNS locais. Isso reduzirá o número de falsos positivos quando um servidor DNS local se comunicar com servidores DNS públicos.

  • BLACKLIST: O formato de lista negra de IP foi estendido para incluir um campo de comentário. Este campo opcional oferece informações adicionais sobre endereços IP na lista negra e ajuda os usuários a entender o contexto, bem como documentar por que um determinado endereço IP está na lista.


Análise e fluxos de trabalho aprimorados


Simplificamos as atividades necessárias dentro do Flowmon Monitoring Center (FMC) ao investigar um evento. Em versões anteriores, um processo manual exigia que os investigadores copiassem o filtro do ADS e o colassem no FMC. Em seguida, você tinha que encontrar manualmente os segmentos de tráfego relevantes no FMC, selecionar e confirmar o canal e o intervalo de tempo, aplicar o filtro desejado e iniciar a análise dos dados do evento.


Agora, todas essas tarefas estão agrupadas em uma tela de análise FMC pré-configurada, onde você pode começar a trabalhar imediatamente.


Exemplo mostrando o link direto na evidência do evento.
Exemplo mostrando o link direto na evidência do evento.

Além disso, as colunas disponíveis que o usuário pode configurar em suas visualizações foram ampliadas. Os engenheiros de segurança cibernética enfrentam o problema de priorizar e entender o status dos eventos existentes na página ADS Analysis e ADS Events, enquanto as informações sobre o status estão ocultas nos detalhes do evento. No passado, um usuário geralmente precisava contornar isso pressionando cada evento separadamente, o que levava muito tempo.


Para melhorar o fluxo de trabalho, os usuários agora podem personalizar colunas com instâncias de método, comentários e categorias na exibição IP na página Análise.



Os usuários também podem adicionar novas colunas com as guias 'Lista simples', 'Por MITRE' e 'Por hosts' na página de eventos.


Exemplo de um ataque de força bruta visualizado na guia “By MITRE ATT&CK”
Exemplo de um ataque de força bruta visualizado na guia “By MITRE ATT&CK”
 

Entre em contato com a International IT para saber mais detalhes ou realizar um trial da solução Flowmon em seu ambiente.



Comments


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page