新
- 统一的警报设置体验:以前被称为警报设置,现在被调用检测规则,您可以直接从左侧菜单访问这种新的、统一的扩展ABA调优功能体验。
- 我们添加了新的定制选项攻击者行为分析检测规则因此,你可以调整它们,以满足组织的需求:
- 我们将所有内容从警报设置迁移到新的检测规则页面。要查找自定义警报、警报修改、攻击者行为分析和用户行为分析检测规则,请进入InsightIDR左侧菜单,单击检测规则。
- 术语更新当我们发布新的检测规则体验时,我们也在术语上做了一些改变:
- 用户行为分析规则
- 以前,您可以修改规则的行为.现在,你修改规则的行为.
- 3个规则行为选项,警惕,值得注意的行为和禁用,已被下列规则操作选项所取代:创建调查,跟踪重要事件和从.
- 攻击者行为分析规则
- 以前,您只能切换规则“State”从和在.现在,您可以使用与UBA规则相同的选项配置规则动作:创建调查,跟踪重要事件,和从.
- 以前,你用警报修改允许列出一个用户或资产。现在,您将创建异常用于受信任的用户和资产。我们还将攻击者行为分析检测规则的所有警报修改转换为例外。
- 用户行为分析规则
- 事件源运行状况监视:我们发布了新功能,以便您可以查看事件源数据的运行状况。您现在可以查看数据的可视化,查看随时间推移已解析和未解析数据的百分比,并了解解析对于给定事件源是如何工作的。查看文档
- 全球仪表板过滤:我们发布了仪表板过滤,让您在仪表板中找到见解的另一层次的灵活性。您现在可以过滤仪表板,以聚焦于特定的用户、资产或IP地址。使用LEQL查询创建一个过滤器,或者在搜索栏中输入要搜索的文本。查看文档
- LEQL更新我们在LEQL中添加了三重引号语法,这样你就可以搜索字符串中不同的引号组合。只需用三引号、单引号或双引号包围搜索字符串。例如:
- (“不要停止“the thing”/“y”)
- Where (" don't stop "the thing" /y " ')
改进的
- “日志查询”中的查询结果:我们增加了一个选项,可以锁定查询栏和时间轴图表,这样你就可以滚动搜索结果,同时保持无障碍访问您的查询上下文或编辑。
- 日志搜索中的表视图:
- 我们添加了新的LEQL运算符到日志搜索中的表视图。当按列值搜索时,您现在可以通过下拉菜单利用新的比较操作符,如contains和start -with。参见更新后的LEQL操作符列表
- 我们增加了在Log Search Table View中保持行高亮显示的能力。现在,您可以选择您感兴趣的行,并轻松地跟踪它,同时在日志事件上水平向左或向右滚动。
- 设置菜单:我们重新排列了InsightIDR设置菜单,以反映更符合逻辑的项目分组。
固定
- 我们修复了调查中与首次管理活动消息相关的一些丢失的翻译字符串。
- 我们修复了一个错误,即非json响应体无法解析,导致异常。
- 我们更新了逻辑,以解析“报告终端用户可疑活动”事件为第三方警报。
- 我们修复了一个带有gateway-hip-check的日志行无法解析的bug。