Note sulla versione di Log360 UEBA

Miglioramento

1. I JAR vulnerabili identificati in Log360 UEBA sono stati aggiornati per migliorare la sicurezza.

Correzione

1. Log360 UEBA ora supporta il componente Event Observer in sostituzione del listener di eventi deprecato utilizzato nei browser web. Ciò garantirà una generazione accurata del grafico del report

Correzione della vulnerabilità

1. La versione PostgreSQL è stata aggiornata da 10.21 a 14.12 per risolvere una vulnerabilità relativa allo stato di fine del ciclo di vita di PostgreSQL 10.21.

Correzioni

1. Correzione della vulnerabilità CVE-2023-46604: È stata corretta una vulnerabilità di sicurezza con ActiveMq che può provocare l'esecuzione di codice in modalità remota (CVE-2023-46604). La versione di ActiveMq è stata aggiornata e sono state abilitate le misure di autenticazione JMX avanzate.

Miglioramenti

1. Recupero degli eventi di AWS Reports da EventLog Analyzer: Gli eventi AWS verranno ora recuperati da EventLog Analyzer anziché da Cloud Security Plus.

Correzioni

1. È stato risolto un problema relativo all'aggiunta di report personalizzati da EventLog Analyzer durante la creazione di modelli personalizzati.
2. È stata risolta una vulnerabilità di sicurezza segnalata da Aon Cyber Labs che causava la falsificazione delle richieste lato server (SSRF).

Nuova funzione

1. Supporto per la funzione Incident Workbench: Questa versione include l'introduzione di nuove API in Log360 UEBA per supportare la funzione Incident Workbench in EventLog Analyzer. Ora potrai tenere traccia delle azioni anomale degli utenti e visualizzare i punteggi di rischio degli utenti all'interno di EventLog Analyzer.

Nuova funzione

1. Rilevamento delle anomalie in tempo reale: È ora possibile configurare il rilevamento delle anomalie in tempo reale per i report di EventLog Analyzer. Ciò ti aiuterà a rilevare le minacce comportamentali man mano che si verificano e potrai difendere la tua rete dai rischi informatici in modo proattivo.

Correzioni

1. Correzione della vulnerabilità CVE-2024-21733: È stata corretta una vulnerabilità di sicurezza (CVE-2024-21733) presente nelle versioni precedenti di Apache Tomcat. La versione aggiornata di Apache Tomcat è ora in uso.

Correzioni

1. Aggiornamento del certificato del firmatario PPM: Questa versione, che include un agente Delta integrato, aggiornerà automaticamente il certificato del firmatario PPM in scadenza con uno nuovo e ti aiuterà a implementare senza problemi i prossimi service pack.

   Istruzione importante: Per i clienti che hanno abilitato la connessione SSL, seguire i passaggi seguenti prima di riavviare l'istanza UEBA dopo l'installazione di PPM (build 4055).

   • Vai a <Home>/Log360UEBA/conf/
   • Apri system_properties.conf e aggiungi il testo sottostante alla fine "product.keystorepass.encrypt=true"
   • Avvia l'istanza UEBA.

Aggiornamenti rapidi

1. Correzione della vulnerabilità CVE-2023-5072: Questa versione corregge la vulnerabilità di sicurezza (CVE-2023-5072) associata alla libreria Java JSON che potrebbe causare un attacco di tipo Denial of Service.

Nuova funzione

1. Smart Threshold per gli avvisi: Gli utenti avranno la possibilità di scegliere tra la soglia manuale e quella intelligente durante la configurazione dei profili di avviso. Smart Threshold ottiene automaticamente il valore di soglia analizzando il numero abituale di eventi che si verificano in un determinato periodo di tempo utilizzando algoritmi di apprendimento automatico. Ciò contribuirà a ridurre i falsi positivi e ad aumentare i veri positivi, poiché gli algoritmi di ML (machine learning) osservano costantemente il comportamento anomalo e aggiornano il valore di soglia.

Miglioramenti

1. I dettagli della licenza ora mostrano il tipo di supporto. I due tipi di supporto sono Classic e Premium.
2. La pagina di supporto è stata aggiornata per visualizzare i dettagli di contatto in base al tipo di supporto.

Nuove funzioni

1. Supporto Premium: Log360 UEBA viene ora fornito con l'opzione di supporto Premium. Oltre ai servizi inclusi nel supporto Classic predefinito, il supporto Premium offre ai clienti un unico punto di contatto, tempi di consegna più rapidi, assistenza multicanale 24 ore su 24, incluso il supporto telefonico e altro ancora.

Nuove funzioni

1. Modello di notifica per i report pianificati e i profili di avviso: Gli utenti avranno la possibilità di creare modelli di notifica personalizzati per i report pianificati e i profili di avviso. Ciò consentirà loro di configurare un messaggio personalizzato e l'elenco dei destinatari a cui inviare la notifica.
2. Autenticazione a due fattori per l'accesso utente ora supporta l'autenticazione tramite verifica via SMS. Gli utenti possono configurare il server SMS dalla sezione delle impostazioni del server.
3. La configurazione del server di posta supporta ora l'autenticazione tramite metodi OAuth e API.

Correzione della vulnerabilità

1. Una vulnerabilità (CVE-2023-35785) che causa l'elusione dell'autenticazione a due fattori è stata risolta. La vulnerabilità è stata segnalata da dalt4sec attraverso il nostro programma di bug bounty.

Nuova funzione

1. Mappatura dell'identità utente: Gli utenti possono creare e gestire configurazioni di mappatura per collegare le identità degli utenti tra vari domini in una rete. Questo aiuta l'UEBA a determinare l'attività di un singolo utente su più domini e a correlare queste attività per identificare le anomalie.

Nuove funzioni

1. La nuova versione di Log360 UEBA consente ora di configurare la configurazione del gruppo di peer statico. Questa configurazione raggruppa gli utenti in base agli attributi impostati per loro nell'ambiente AD. Log360 UEBA fornisce un elenco di 7 attributi predefiniti da cui è necessario configurarne almeno uno, per abilitare la configurazione del gruppo di peer statico.

Nuove funzioni

1. La nuova versione di Log360 UEBA ti consente di configurare uno strumento di ticketing a tua scelta. Oltre ad assegnare i tecnici agli avvisi all'interno di UEBA, ora è possibile configurare gli avvisi in modo che vengano generati automaticamente come ticket nello strumento configurato.

   Gli strumenti di ticketing supportati sono i seguenti:

   • AlarmsOne di ManageEngine
   • Jira Service Desk (cloud e locale)
   • ServiceNow
   • Kayako e
   • Zendesk
2. Abbiamo introdotto una nuova funzione che pubblica una notifica all'interno dell'interfaccia utente del prodotto per aggiornare l'utente su eventuali correzioni o aggiornamenti di sicurezza importanti.
3. Abbiamo anche apportato alcune correzioni ai problemi di sicurezza esistenti.

Correzione

1. Correzione di bug minori

Nuova funzione

1. Mascheramento dei dati per gli auditor: Gli amministratori avranno la possibilità di nascondere le identità degli utenti agli auditor. Ciò contribuirà a mantenere la privacy degli utenti nella rete. Gli auditor potrebbero aver bisogno di conoscere solo i livelli di rischio di diversi utenti ed entità e non necessitare di sapere chi sia effettivamente l'utente o il dispositivo. Dettagli come nome utente, nome host, indirizzo IP e altro ancora possono essere mascherati. Per l'auditor, i dati mascherati appariranno come un codice casuale.
2. Risoluzione dei dati mascherati: Gli amministratori possono fornire il valore mascherato e Log360 UEBA fornirà l'identità originale dell'utente, l'host, l'indirizzo IP, ecc.
3. Mappatura di utenti ed entità: Ogni utente verrà mappato alle entità principali a cui è associato. Queste entità principali sono dispositivi o host che l'utente notoriamente usa. Con questa funzione, gli amministratori saranno in grado di vedere rapidamente all'interno del profilo di ciascun utente e capire se sia associato a un'entità che non dovrebbe utilizzare.
4. Deep linking per utenti ed entità: Verrà fornito un link al profilo dell'utente o dell'entità da diverse aree all'interno di Log360 UEBA, come Report, Avvisi, Utenti nella lista di controllo ed Entità nella lista di controllo. Ciò consentirà agli amministratori di navigare in modo efficiente e condurre le indagini.
5. Esportazione degli avvisi: Gli avvisi per un intervallo di tempo scelto possono essere esportati nei formati di report CSV, PDF, XLS e HTML. Ciò aiuterà gli amministratori a presentare i report al management e contribuirà a stabilire un processo decisionale intelligente. Gli amministratori possono anche esaminare la cronologia delle esportazioni di avvisi.
6. Diagnostica del server e analisi dello spazio su disco: Gli amministratori possono esaminare le informazioni sullo stato generale, la configurazione, la memoria, l'installazione e i dettagli sullo spazio su disco di Log360 UEBA. Ciò garantirà che il prodotto funzioni al livello ottimale.

Correzione della vulnerabilità

1. Mitigazione della vulnerabilità Log4j [CVE-2021-44832]: Log360 UEBA ora utilizza Log4j versione 2.17.0, che rimuove il supporto per i modelli di ricerca dei messaggi e disabilita la funzionalità JNDI per impostazione predefinita. Questo risolve la vulnerabilità di sicurezza dell'esecuzione di codice remoto Apache Log4j.

Correzione della vulnerabilità

1. Mitigazione della vulnerabilità Log4j [CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105]: Log360 UEBA utilizza Log4j versione 2.9.1, che può essere potenzialmente interessato dalla vulnerabilità di sicurezza dell'esecuzione di codice remoto Apache Log4j. Abbiamo risolto questo problema poiché Log360 UEBA ora utilizza Log4j 2.17.0 che rimuove il supporto per i modelli di ricerca dei messaggi e disabilita la funzionalità JNDI per impostazione predefinita.

Nuova funzione

1. Punteggio di rischio contestuale: Verrà fornito un punteggio di rischio contestuale insieme ai punteggi di rischio medio e massimo, per intervalli di tempo specificati. Il punteggio di rischio contestuale prenderà in considerazione le anomalie successive dopo l'intervallo di tempo specificato per fornire una misura più dinamica del rischio.
2. Aggiunta di gruppi di Active Directory a una watchlist: È possibile selezionare un gruppo di Active Directory in una sola volta per aggiungere tutti gli utenti al suo interno a una watchlist.
3. Impostazione di tutti gli utenti all'interno di un gruppo di Active Directory come "Tecnici": È possibile selezionare un gruppo di Active Directory in una sola volta, per impostare tutti gli utenti al suo interno come tecnici.
4. Configurazione degli avvisi in base al gruppo di Active Directory: È possibile selezionare un intero gruppo di Active Directory durante la configurazione di un avviso. In questo modo, tutti gli utenti all'interno del gruppo saranno configurati per l'avviso.
5. Autenticazione a due fattori: Per una maggiore sicurezza durante gli accessi, è possibile configurare l'autenticazione a due fattori. Può essere abilitata per i seguenti metodi: Verifica e-mail, Google Authenticator, RSA SecurID, Duo Security e autenticazione RADIUS.

Miglioramenti

1. Miglioramenti alle query della dashboard: In precedenza, la dashboard veniva caricata dopo le query al database. Ora le informazioni visualizzate di frequente verranno memorizzate nella cache del prodotto, eliminando alcune query del database. In questo modo si ridurrà il tempo necessario per caricare la dashboard.
2. Miglioramenti delle prestazioni durante l'analisi delle anomalie di conteggio: Tutte le attività anomale in base al conteggio verranno recuperate direttamente dal componente Log360 (ADAudit Plus, EventLog Analyzer o Cloud Security Plus), anziché da Elasticsearch. Ciò farà risparmiare il tempo di dump. Inoltre, ridurrà anche i requisiti di spazio su disco.
3. Azzeramento delle notifiche di errore: In caso di eccezioni verranno fornite notifiche di errore. L'utente verrà a conoscenza del motivo dell'errore.
4. Ricerca globale di utenti ed entità: La ricerca globale ti consentirà di cercare qualsiasi utente o entità. Facendo clic sull'utente o sull'entità si accede alla dashboard associata.
5. Suddivisione di modelli lunghi durante la visualizzazione di anomalie del modello: Le anomalie del modello verranno visualizzate dopo aver diviso i modelli lunghi in catene di lunghezza 2. Questo verrà fatto solo se il completamento dell'analisi del modello lungo richiede più di due minuti. In questo modo, le dimensioni del file si ridurranno e la velocità delle prestazioni aumenterà.

Nuova funzione

1. Modellazione delle anomalie per un'analisi completa: In precedenza, solo i modelli di anomalia predefiniti basati su report specifici di ADAudit Plus, EventLog Analyzer e Cloud Security Plus erano disponibili come report in Report personalizzati. Ora è possibile creare modelli di anomalie personalizzati in base a qualsiasi report di questi tre componenti. I modelli di anomalie personalizzati creati saranno disponibili come report personalizzati all'interno di Log360 UEBA.

Miglioramenti della sicurezza

1. Richiesta di una connessione sicura: Quando accedono a Log360 UEBA, agli utenti verrà richiesto di abilitare la connessione HTTPS, nel caso in cui non l'abbiano ancora fatto. L'utente può anche abilitare la connessione HTTPS dalla pagina Product Settings. La connessione HTTPS aumenta la sicurezza.
2. Avviso per la modifica della password predefinita dell'account amministratore: Quando accede a Log360 UEBA, all'amministratore predefinito verrà richiesto di modificare la password predefinita, nel caso in cui non l'abbia ancora fatto. L'amministratore può fare clic su "Change Now" per essere reindirizzato alla pagina Change password. Ciò migliorerà la sicurezza.

Miglioramento

1. Archivio dei dettagli dell'anomalia del conteggio: I dettagli sulle anomalie di conteggio più vecchie di 30 giorni verranno ora archiviati insieme ad altri dettagli sulle anomalie. Ciò contribuirà a risparmiare spazio su disco.

Nuova funzione

1. Raggruppamento peer di utenti: In base al comportamento passato osservato, gli utenti verranno automaticamente inseriti in gruppi di peer distinti. Un utente specifico può appartenere a più gruppi di peer. Il gruppo di peer sarà preso in considerazione nel calcolo del livello di confidenza dell'anomalia e questo a sua volta influenzerà il punteggio di rischio. In questo modo si otterrà un contesto di sicurezza migliore e si ridurranno i falsi positivi.

Miglioramento

1. Possibilità di aggiungere note su utenti ed entità: Gli analisti della sicurezza possono ora selezionare qualsiasi utente o entità dalla dashboard degli utenti o delle entità e aggiungere o aggiornare note su di essi. Verranno registrati anche l'analista che inserisce la nota e il timestamp. Le note aiutano il team di sicurezza a documentare e condividere i risultati.

Miglioramento della sicurezza

1. Protezione da aggiornamenti errati del prodotto: Per evitare che venga applicato un file PPM errato o dannoso durante gli aggiornamenti del prodotto, da ora verrà eseguita la firma di PPM e DLL. Ciò migliorerà la sicurezza e l'integrità.

Nuove funzioni

1. Visualizzazione delle anomalie: Gli utenti possono ora visualizzare una rappresentazione grafica di ogni anomalia analizzata. Questo mostrerà quanto sono distanti i valori osservati dai valori attesi.
2. Nascondere utenti ed entità dalla dashboard: Utenti ed entità specifici possono ora essere nascosti dalla dashboard. Questo può essere utilizzato nei casi in cui un utente o un'entità è ritenuto affidabile.
3. Anomalie di accesso: Da ora, verranno forniti i dettagli delle anomalie e i punteggi di rischio per le anomalie di accesso, una nuova categoria di minacce.

Miglioramenti

1. Il framework Apache struts non è più in uso: La vulnerabilità causata da Apache Struts è stata risolta (la dipendenza da Apache Struts è stata rimossa).
2. Analisi di eventi anomali in blocco: La soluzione ora supporta l'analisi di eventi anomali in blocco, anziché come singoli eventi. Questo si tradurrà in un miglioramento delle prestazioni.
3. Progettazione migliorata per i report esportati: Tutti i report di anomalia esportati come file HTML, XLS e PDF saranno ora caratterizzati da un design nuovo e migliorato.

Nuove funzioni

1. Integrazione con PAM360: Log360 UEBA ora si integra strettamente con PAM360 di ManageEngine per analizzare le anomalie negli accessi privilegiati.

Nuove funzioni

1. Archiviazione Elasticsearch (ES): Gli utenti hanno ora la possibilità di archiviare le anomalie già rilevate nei file di indice compressi per un periodo di tempo di loro scelta. Ciò migliorerà l'utilizzo dello spazio di archiviazione.
2. RunQuery per l'esecuzione di query sul database: Gli utenti potranno ora interrogare il database di Log360 UEBA eseguendo runQuery.do sul sistema che esegue Log360 UEBA.

Miglioramenti

1. Maggiore visibilità dei dati durante il periodo di formazione UEBA: La dashboard durante il periodo di formazione iniziale dell'UEBA offrirà ora maggiori informazioni sull'attività della rete.
2. Formato XLS e HTML per l'esportazione: Gli utenti possono ora esportare i report nei formati XLS e HTML, oltre che nei formati PDF e CSV.
3. Sincronizzazione dei riquadri di anteprima delle foto AD per l'immagine del profilo degli utenti: La foto degli utenti memorizzata nell'attributo ThumbNailPhoto in AD può ora essere visualizzata insieme ai loro punteggi di rischio. Questa foto sarà resa disponibile grazie a una sincronizzazione con Active Directory.
4. Aggiornamento della memoria: La memoria allocata al prodotto e all'ES può ora essere aggiornata dalla scheda delle impostazioni del prodotto.

Nuove funzioni

1. Avvisi: È ora possibile inviare notifiche e-mail in tempo reale per le anomalie rilevate e i punteggi di rischio elevati.
2. Ricerca globale: Gli utenti possono ora cercare in tutte le sezioni del componente UEBA, inclusi i report, le impostazioni e la documentazione della guida, per i dettagli richiesti.

Miglioramenti

1. Gestione dei report: La gestione di categorie, gruppi e report è ora più semplice, con l'opzione Manage reports.
2. Opzione per aggiungere filtri a livello di registro per impostare il livello di gravità per i registri raccolti.

Correzione

1. La vulnerabilità legata all'elusione dell'autenticazione (CVE-2020-24786), identificata da Florian Hauser, è stata ora risolta.

Funzioni

1. Personalizzazione del punteggio di rischio: Il punteggio di rischio può ora essere personalizzato in base all'entità della deviazione dalla linea di base delle normali attività di un utente e anche ai requisiti dell'organizzazione.
2. Integrazione con Cloud Security Plus: Integrato con Cloud Security Plus per garantire il monitoraggio in tempo reale della tua piattaforma cloud.

Miglioramenti

1. Pagina dei report migliorata: Ora puoi selezionare il dispositivo specifico dal menu a discesa per i quali eseguire report avanzati. Inoltre, sono stati inclusi alcuni nuovi report.

Nuova funzione

1. Autenticazione basata su Active Directory: Gli utenti possono ora accedere alla console di Log360 UEBA utilizzando le credenziali del dominio Active Directory.

Nuove funzioni

1. Individuare anomalie nelle attività AD inclusi gli accessi, l'attività degli utenti, i blocchi degli account e altro ancora.
2. Pianificazione dei report: È ora possibile programmare la creazione dei report a intervalli specifici e l'invio via e-mail alle parti interessate o l'archiviazione in una posizione specifica.
3. Il modulo UEBA supporta il cinese e il giapponese.

Miglioramenti

1. Le prestazioni degli algoritmi di apprendimento automatico sono state migliorate con Redis.
2. Supporto di Microsoft SQL Server come database back-end.
3. La dashboard è stata migliorata per una migliore esperienza utente.