新
- Auth0事件源:我们已经添加了Auth0作为一个新的事件源!它可以在“云服务”类别中找到。您可以利用IDR中的Auth0日志进一步了解您的环境。IDR还将解析来自新事件源的云服务活动日志。查看文档。
- 更改导入/导出存档设置:我们已经在设置中创建了一个新的部分,包括所有日志搜索配置向前推进。
- 您现在可以在设置>日志搜索下找到导入和导出存档冷藏的日志和条目的出口.
- 您还会注意到我们将自动日志结构和S3归档移到了设置>日志搜索下。
- 订阅管理:对于拥有InsightIDR高级或终极订阅的客户,我们引入了一个新的订阅管理页面。本页面向您提供许可信息的可见性,包括许可中包含哪些Insight产品,以及何时需要续期。您可以通过选择来访问它帐户设置>订阅管理在顶部导航菜单中。
改进的
客户要求
- 警报:您现在有更多的控制,当配置您的自定义警报通知!如果您有合规性或安全性问题,您可以选择只发送匹配的日志行,或者完全禁止作为通知发送的任何日志信息(例如,电子邮件或松弛消息)。默认情况下仍然包含匹配的日志行和上下文。
- 语言的更新我们做了一些改变,以增加清晰度,并与我们的包容性语言标准保持一致。
- 我们将自动化页面上的“警报触发器”标签重命名为“UBA警报触发器”,以便更清楚地了解正在配置的警报类型。
- 我们在结束调查时更新了副本,将“白名单”改为“允许名单”,将“黑名单”改为“拒绝名单”,以符合我们的包容性语言指南。
- 黑暗主题更新:我们在InsightIDR的自动配置部分增加了对黑暗主题的支持。要访问此页面,请单击数据采集>添加事件源>自动配置
- 检测逻辑:我们增强了检测逻辑,以便更准确地确定作为特权LDAP组一部分的帐户何时执行进入操作。这为您提供了更好的可见性,以了解特权用户登录的位置和方式。
- LEQL搜索查询我们添加了新的LEQL语法、12个新的关键字和操作符,使您更容易编写详细的查询和以区分大小写和不区分大小写的方式搜索日志事件。例如,CONTAINS-ANY和iconcontains - any返回日志事件,其中值包含列表中的任何子字符串。阅读更多://www.gcpym.com/insightidr/use-a-search-language/#comparison-operators
- Office365事件源: Oauth登录现在根据日志中的错误代码值报告。
- VitalQIP:我们将文件尾跟踪和目录监视作为收集方法添加到VitalQIP事件源。
- Zscaler NSS事件源:我们改进了Zscaler NSS的web代理事件属性。现在,更多的web代理文档将归于您环境中的用户,即使没有匹配的资产。
固定
- 我们修复了一个CEF_V2头格式的VectraNetworks日志行没有被解析的问题,增加了对CEF日志格式V2的支持。
- 我们增加了对正确解析Fortigate DPD日志线事件的支持,这些事件代表VPN终止活动。