このセクションの記事

Guardian v. 19.0.X (主な変更点)

フォローする

N2OS 19.0.8

特徴

  • プロトコルのサポート:Valmet DCSプロトコルを検出する機能。

機能改善

  • スマートポーリングWinRM戦略:一部のWinRM要求のサイズは、より少ない帯域幅を使用するように最適化されています。

 

N2OS 19.0.7

機能改善

  • from_zoneおよびto_zoneフィールドをセッション、リンク、およびアラートに追加しました。 これらのフィールドには、ソースおよび宛先ノードからのゾーン情報が含まれています。
  • 1回の操作で無制限の数のアラートを閉じる可能性が追加されました。
  • マージフェーズ中のCMCオールインワンモードのパフォーマンスが改善されました。

 

N2OS 19.0.6

特徴

  • IEC 60870-5-103(カプセル化されたシリアル)プロトコルの初期サポートが追加されました。 プロトコルデコーダーを有効にするには構成が必要です。詳細な手順については、ユーザーマニュアルを参照してください。
  • プロトコルサポート-Wonderware:Guardianは、Wonderwareプロトコル通信からプロセス値を識別および抽出するようになりました。
  • CMC管理者は、CLIで関連するGuardianの同期設定を調整できるようになりました。

機能改善

  •  DNS:より多くのエンコードのサポートが追加されました。この改善により、DNSプロトコルデコーダーはトラフィックからより多くの情報を抽出できるようになりました。
  • SIGN:WEAK-ENCRYPTIONアラートは、アラートビューを煩雑にしないように、ノードごとに1回発生します。
  • CVEマッチングエンジンの精度が向上しました。その結果、誤検出マッチの数が大幅に削減されました。
  • PDFアセットレポートのレンダリングが改善され、技術的な理由で存在する一部のフィールドが最終結果から非表示になりました。

 

N2OS 19.0.5

特徴

  • HSR / PRPプロトコルの初期サポートが追加されました。
  • VXLANネットワークレイヤーのサポートが追加されました。
  • プロトコルのサポート:Valmet DCSプロトコルを検出する機能。
  • プロトコルサポート:環境内でFocasプロトコルを識別する機能。
  • プロトコルサポート:UDP経由でPTPv2プロトコルを検出する機能が強化され、IPを介したPTPv2の攻撃検出が追加されました。
  • プロトコルのサポート:ABB 800xa MMSプロトコルを検出および解析する機能。
  • プロトコルサポート:Thales modusプロトコルのラベル、ロール、およびタイプを識別、更新する機能。
  • プロトコルのサポート:開始、停止、アップロード、ダウンロード、変更などのオムロンのオンライン編集を検出する機能。
  • SYN以外のTCPパケットを介したポートおよびネットワークスキャンの新しい検出。
  • インポート:Triconex .pt2構成ファイルをインポートするサポートが追加されました。
  • Emerson Ovation DCSプロトコルのサポートが追加され、ネットワーク内のプロトコルを識別できるようになりました。
  • プロトコルサポート:S8000プロトコルのプロトコルサポートが強化され、変数を抽出できるようになりました。
  • 特定の展開シナリオでは、アクセス権のないRBACグループを使用する必要があります。 これで、認証のみのアクセス権を持つグループを作成できます。
  • ユーザーは、CSVファイルのアップロードを介してCMCにインポートできます。
  • CMCとGuardianユーザーを複数のグループに割り当てることができるようになりました。
  • ユーザー管理インターフェースは、SAML認証に接続するユーザーにパスワードを要求しなくなりました。
  • FTPプロトコルからファイルを抽出し、サンドボックス内のマルウェアを分析する機能を追加しました。
  • 脆弱性の抽出:ABB ac800デバイスのサポートが追加されました。
  • OpenAPI:アラートトレースのPCAPをダウンロードする新しい方法が追加されました。
  • OpenAPI:アラートを確認するための新しいメソッドが追加されました。
  • スマートポーリングCisco ISE戦略:この戦略は現在、新しい資産情報をサポートしています。 VLAN名、NAS製品名、およびNAS IP。
  • PAN統合:選択したアラートタイプに基づいて、ホスト間の悪意のあるセッションを強制終了する機能を実装しました。
  • 新しいService Nowスマートポーリング戦略を使用して、GuardianはService Nowからシリアル番号とベンダー資産情報を取得できるようになりました。

機能改善

  •  DNS:より多くのエンコードのサポートが追加されました。この改善により、DNSプロトコルデコーダーはトラフィックからより多くの情報を抽出できるようになりました。
  • プロトコルサポート:Modbusプロトコルの強化。 Guardianは以前、パケットヘッダーのサイズが間違っている場合にアラートを生成しました。 Guardianは、生成されるアラートを制限し、パケットの形式が正しくない場合にのみアラートを出します。
  • ブロードキャストおよびマルチキャストGE Mark VIのプロトコルサポートの強化。
  • 不正な形式のパケットに対する誤検出アラートの発生を回避するために、MOXAデバイスを介したModbusプロトコルのデコードの改善。
  • アセットのグループ化が改善され、L2およびL3ノードのより大きなセットをアセットに結合できるようになりました。
  • グラフはズームと視点を保持するようになり、ユーザーはサイトに戻ったときに残したのとまったく同じビューを見つけることができます。
  • グラフのルックアンドフィールの継続的な強化。 グラフの応答性が向上し、詳細の少ないロードが可能になり、ズーム時にロードが続行されます。
    この機能は、ノード数が約1,500、またはリンク数が3,000を超えると自動的に有効になります。
  • ゾーン:L2ノードをL2セグメントと一致させる機能が追加されました。 L2セグメントは、ゾーン内でL3セグメントと混合できます。
  • Layer2ノードにVLAN IDが設定されます。
  • ゾーン構成の強化:パケットで識別されたVLANタグからゾーンを自動的に構築する機能。
  • 現在、ABB MMSプロトコルは、コントローラーの開始と停止、ファームウェアとプログラムの変更などのエンジニアリング操作の検出をサポートし、コントローラーが何度も予約されていることを検出します。
  • 特にユーザーがカスタムコンテンツ(パケットルール、ヤラルールなど)を追加した場合に、OT ThreatFeedセクションに監査イベントを追加しました。
  • サポートされているすべてのプロトコル(ftp、http、telnet)の強化された脆弱なパスワード検出。パスワードがすべて小文字、大文字、または数字の場合にアラートが生成されるようになりました。
  • 管理メニューの専用ページからデータのバックアップを実行できるようになりました。
  • trigger_idに基づいてアラートルールを設定する可能性が追加されました。
  • システムイメージへの変更を検出するための内部HIDS(ホストベースの侵入検知システム)が追加されました。
  • SSHおよびGUIアクセス用のパケットフィルタルールを設定する可能性が追加されました。 これにより、ユーザーがアプライアンスに接続できるネットワークが指定されます。
  • スマートポーリング:製品バージョンを使用してWindowsマシン用のCPEを生成する機能が強化されました
    (例:cpe:2.3:o:microsoft:windows_10:1809:*:*:*:*:*:*:*)、CVEマッチングの精度を大幅に改善します。
  • プロキシユーザーパスワードのOTTFプロキシ認証処理が改善されました。
  • UIを更新して、バナーにOTTFバージョンを含めました。 OTTF更新タブに最後のチェックとバージョンを含めます。
  • データ統合を構成するときに、Guardianがサブスクライバーにすべてのデータを提供するか、新しいデータのみを提供するかを決定できるようになりました。
    新しい「新しいデータのみ送信」構成は、次のデータ統合に適用されます:FireEye TAP CloudCollector、IBM QRadar、Service Now、Splunk、およびSMTP転送。

 

N2OS 19.0.4

特徴

  • 新しい(ベータ)学習モードが導入されました:スマート学習。 この実験モードは、早期のテストに使用できますが、一般的な実稼働環境ではまだ推奨されていません。 スマートラーニングを使用すると、異常ベースのモードがわずかに厳密になり、動的環境でアラートが少なくなります。 この機能に関する詳細情報とドキュメントは、将来のバージョンで利用可能になる予定です。 一方、Nozomi Networksチームは、この機能をいつ使用するかについてお客様に同意する場合があります。
  • Asterixプロトコルのサポートが追加され、プロトコルが検出され、機能コードがデコードされます。
  • DHCPサーバーの役割と、新しいノードがDHCPサーバーとして機能するときにアラートを生成する新しい検出機能が追加されました。
  • DNSプロトコルデコーダーは、IPv6ノード、圧縮URL、およびより詳細で詳細な情報抽出機能のためのより多くの応答形式をサポートするようになりました。
  • TG800およびTG102プロトコルには、カスタマイズ可能なサブネットとポート範囲が追加され、n2os.conf.userファイルにこれらのルールを追加できるようになりました。

• probe protocol tg800 subnet x.y.x.0/24
• probe protocol tg800 port_range src_port-dst_port
• probe protocol tg102 subnet x.y.x.0/24
• probe protocol tg102 port_range src_port-dst_port

  • TLS v1.0の使用に関する新しい検出が追加されました。この古い安全でないレイヤーが使用されると、新しいアラートが発生します。
  • 現在、vi private_ipsおよびviゾーンルールはIPv6アドレスでも動作します。
  • パロアルトネットワークスのファイアウォール統合:

•ファイアウォールルールを自動的に作成し、Palo Alto NGFWに展開します。
•Palo Alto NGFW統合から「ロギングを有効にする」オプションは削除されました。
•監視対象ネットワーク上のノード間の通信でリンクをブロックできるようになりました。
•ノードブロッキングにダイナミックアクセスグループを使用できるようになりました。 ダイナミックアクセスグループはタグを参照します。タグは、ファイアウォールで作成された新しいIPアドレスオブジェクトに割り当てられます。 したがって、ファイアウォールルールセットを変更せずに、新しい各アドレスにグローバルGuardianブラックリストルールを自動的に適用します。
•保留中のファイアウォールルールのコミットに関連する問題を修正しました。 現在、システムは、APIに使用される資格情報で表される現在のユーザーが必要とする現在の変更のみをコミットします。グローバルコミットは実行されなくなりました。

 

  • Cisco ISE統合:

•Cisco ISE認証は、サードパーティの証明書をサポートしています。
•APIからネットワーク上のIPアドレスに関連するスイッチポート情報を取得します。 この情報は、スマートポーリング機能の改善に使用されます。 スイッチポートは、ノードのカスタムプロパティです。
•ISEへの最初の接続時にANCポリシーが作成され、ISE統合の設定時にデフォルトのANCポリシーが作成されます。 これは、ISEがノードをブロックするルールセット順序の条件としてANCポリシーを参照する必要があるため、実行する必要があります。
•ISE統合を設定するときにANCポリシーを指定する機能。 ユーザーは、Cisco ISE統合を設定するときに既存のANCポリシーを選択できます。
•fw設定でアカウント作成リクエストを実行します。 ユーザーが提供した資格情報でCisco ISEアカウントを自動的に作成し、アクティブ化します。 これは、Cisco ISE構成がGuardianインスタンスに追加されるときに発生します。

  • CMCから接続されているすべてのアプライアンスにユーザーとユーザーグループを伝播する可能性が追加されました。
    この機能はユーザーグループごとに有効にでき、デフォルトでは無効になっています。 詳細については、ユーザーマニュアルのCMCセクションを参照してください。
  • n2os-addcacertコマンドを使用して、新しいCAを追加できるようになりました。 現時点では、このコマンドはコンテナバージョンでは使用できません。
    webguiおよび同期プロセスで使用されるTLS証明書は、n2os-addtlscertを使用して変更できます。 詳細については、ユーザーマニュアルを参照してください。
  • 長さの数値から文字列を作成するために、LUA SDKに2つの新しい関数を追加しました。 これらの2つの関数は、read_string_with_lenおよびconsumer_string_with_lenと呼ばれます。 これらは、SDKユーザーマニュアルのAPIリファレンスで詳細に説明されています。

機能改善

  • Ethernet / IPプロトコルデコーダーは、明示的にそうするように構成されている場合にのみ接続を保存するようになりました。これにより、永続性は必要ないが、多くの接続ファイルがまだ作成されるいくつかのケースが改善されます。 永続性を有効にする構成ルールは、プローブプロトコルethernetip-implicit persist-connection trueです。
  • Guardianは、FTPデータチャネルを検出およびデコードできるようになりました。 FTPデータを介して転送されたファイルはサンドボックスに保存され、マルウェアの分析が行われます。
  • ADIUSプロトコルのサポートが追加されました。これは、ログイン試行の失敗を検出するために使用される別のソースであり、検出エンジンに基づいてアラートを生成します。
  • より多くの機能コードをサポートするために、BACnet変数抽出が改善されました。
  • EEE 802.1abレイヤーのサポートが改善され、Guardianはさらに多くのシナリオでトラフィックを検出できるようになりました。
  • OPC-UAプロトコルが改善され、より多くのフラグメンテーションシナリオをサポートするようになりました。その結果、Guardianはより多くの情報と変数を抽出します。
  • TCPトラフィックをサポートするために、OMRON FINSプロトコルデコーダーが改善されました。
  • 不正な形式のGOOSEトラフィックが大幅に改善されました。ASN.1エンコードの異常が検出されると、アラートが発生します。
  • RTSPプロトコル検出カバレッジが改善され、より多くのストリームを検出できるようになりました。
  • SNMPプロトコルデコーダーは、次の拡張機能をサポートします:輸送のためのUTMC標準。 結果として、この拡張がネットワークで検出されると、より多くの情報と変数が抽出されます。
  • グラフのズーム機能が改善され、Firefoxの操作性が向上しました。
  • このリリースで配布される新しいOVAおよびVHDイメージには、4つのCPUコア、4 GBのRAM、および10 GBのディスクスペースのデフォルトが強化されています。
  • 間違った統合タイプでFortigateファイアウォールを構成しようとしたときのエラーメッセージが改善されました。
  • Splunk JSONデータ統合には、アラートのリスクを表す数値リスクフィールドが追加されました。
  • write_memoryコマンドは、他の関連するシステムコマンドとの一貫性を保つために、n2os-saveに名前が変更されました。 古いwrite_memoryは、後方互換性のために保持されますが、現在は非推奨と見なされます。
  • zpool history出力をサポートパッケージに追加して、問題が発生した場合のトラブルシューティングエクスペリエンスを改善しました

 

N2OS 19.0.3

機能改善

  • 並列計算は、少なくとも4つのCPUコアを搭載したマシンで自動的に有効になりました。 この変更により、CPUコアをより有効に活用して、Guardianアプライアンスのデコードパフォーマンスが向上します。
  • IDSの復元力と自動診断機能の改善。 この変更により、誤動作の場合により良い診断情報が提供され、追加情報がサポートパッケージに自動的に含まれます。

アップグレードの備考

  • 18.5.9未満のバージョンからアップグレードする場合は、19.0.0のアップグレードの説明を参照してください。
  • このリリースでは、データパーティション用の新しいより優れたファイルシステム(ZFS)が導入されています。 したがって、ディスクが拡張、移動、またはデータファクトリリセットが実行された場合、以前のバージョン(<= 19.0.1)へのロールバックはできません。 このリマークは元に戻せないため、慎重に検討してください。

 

N2OS 19.0.2

SKIPされました

 

N2OS 19.0.1

from 19.0.0 to 19.0.1

新機能

  • イーサネット層でもS7プロトコルが検出されるようになりました
  • グラフはマウスホバーのリンクを再び強調表示します
  • グラフリンクは選択時に強調表示されます

機能改善

  • SP:WMI / WinRMタイムアウトを構成できます
  • S7 +プロトコルが資産情報を検出するようになりました
  • グラフの滑らかさが大幅に向上しました
  • サーバーのタイムアウトを回避するため、アラートの一括クローズに300アイテムの明示的な制限が表示されるようになりました
  • 古いsyslogログ形式を復元しました
  • レポートの生成は非同期になり、レポートがキューに登録された後、「生成されたレポート」タブに結果が表示されます
  • FireEyeの統合:フィールドの命名の改善
  • パケットルールがフラグ、フラグビット、IDオプションをサポートするようになりました
  • IEC101は、指定されたバイト数をスキップして、Digiドライバーのような特定のシナリオをサポートするように構成できるようになりました
  • S7 1200/1500ハードウェアのCPE生成の改善
  • ProfinetRT変数のデコードに関する多くの改善

 

Release Notes for Nozomi Platform (N2OS) 19.0.0

from 18.5.9 to 19.0.0

新プロダクト

  • Remote Collector
    • Remote Collectorを使用すると、費用対効果の高い方法で分散ネットワークを監視できます。 この製品は、ネットワークトラフィックをキャプチャし、Guardianに送信します。Guardianは、ローカルモニタリングインターフェースから来ているかのように分析します。
    • 関連付けられたリモートコレクタを表示するために、Guardianナビゲーションに[アプライアンス]タブが表示されるようになりました。

新機能

  • Built-in Reports
    • レポート作成の新しい方法が追加されました。分析→レポートには、ビルトインレポートという名前の新しいタブがあり、ワンクリックですぐに生成できるレポートのリストがあります。
  • Visual Query
    • [分析]→[クエリ]メニューから、Nozomiは「標準」モードを提供し、Visual Query Builderを使用したクエリ作成の簡素化されたエクスペリエンスを表示します。 これにより、ユーザーエクスペリエンスが簡素化され、Nozomi Networks Solutionからデータを抽出してプロットできます。
  • Security Control Panel
    • ラーニングパネルとアラート設定パネルは、新しいセキュリティコントロールパネルに統合され、Guardianのセキュリティ関連の側面を設定または保守する際に集中的なエクスペリエンスを提供します。
    • 新しいセキュリティプロファイル機能により、4つの異なるプロファイルでアラートのデフォルトの可視性レベルを選択できます。 Guardianのセキュリティエンジンは、関連するインシデントで必要に応じてコンテキストに応じて表示されるすべてのアラートを保持します。
  • New Graph engine and features
    • グラフは完全に再設計され、応答時間が短縮され、スケーラビリティが向上し、機能が追加されました。
    • ノードをクリックしてホールドすると、選択したノードとの接続が表示されます。
    • [ノード]オプションの[グループ化]フィールドと組み合わせた新しいグループ化されたレイアウトが追加され、ノードを明確にバブルにグループ化できます(ノードのタイプ、サブネット、ロールなど)。
  • CMC
    • [アプライアンス]タブが完全に改訂され、接続されたアプライアンスの管理が簡素化されました。 テーブルが簡素化され、右側のスマート選択ディスプレイと組み合わせて、よりコンパクトなテーブルが導入されました。
    • CMCに接続され、NTPが構成されていないアプライアンスは、親CMCから時刻同期を自動的に取得します。
    • 接続されたアプライアンスの更新は、選択された接続されたアプライアンスのセットのみにソフトウェアの更新をプッシュする機能を提供することにより改善されました。 これを行うには、ユニバーサル検索バーでフィルタリングし、「強制更新」ボタンをクリックします。
  • Smart Polling – Windows machine details through WMI/WinRM
    • Guardianは、Windowsマシンからより多くの情報を収集し、USBポートの使用などのイベントをキャッチできるようになりました。 また、インストールされたソフトウェアはオプションで取得され、ネットワークのWindows資産の可視性を高めます。
  • Smart Polling -- IEC 62351-7 preliminary support
    • Guardianは、IEC 62351-7 OIDを正しく解析してセマンティックを付与できるようになりました。 SNMPスマートポーリング戦略と「OID to walk」オプション1.0.62351.7を組み合わせて使用すると、機能が有効になります。
  • Fortinet FortiGate v6.2+ (BETA)
    • 最新のFortinet FortiOS 6.2+をサポートするために、Fortinet FortiOS 6.2+との統合の新しいバージョンを追加しました。これはテストに使用できますが、まだベータ版です。
  • Custom login banner (webconsole and SSH)
    • ログインバナーを設定して、webconsoleログインページとSSHパスワードプロンプトに表示されるようになりました。 変更するには、Webコンソールの[管理]→[一般]メニューに移動します。
  • Added possibility for self-service password change
    • Webコンソールのユーザーはパスワードを変更できるようになりました。ページの右上隅にあるユーザー名をクリックし、[その他のアクション]をクリックしてから[パスワードの変更]をクリックします。

機能改善

  • CMCの「CMC設定」メニューの名前は「同期設定」に変更されました。これは、接続されたリモートコレクターを管理するGuardianでもこの機能が利用できるようになったためです。
  • Data integration improved for Security Profile
    • イベントをSIEMに転送できるデータ統合戦略により、すべてのアラートまたは現在のセキュリティプロファイルに続くアラートのみを転送できるようになりました。
  • More performance
    • Guardianのトラフィック処理機能からCMCのスケーラビリティまで、プラットフォームのパフォーマンスを改善するために多くの作業が行われました。 その結果、ユーザーはより迅速なシステムを利用できるようになり、さらに大規模なネットワークを監視できるようになります。
  • Simplified Software Update
    • Webコンソールからのソフトウェア更新エクスペリエンスが改善されました。 将来的には、19.0.1のような更新プログラムを適用する際に、ユーザーインターフェイスにチェックサムを挿入する必要がなくなります。 ただし、18.5.9から19.0.0にアップグレードしても、チェックサムは必要です。
  • admin user instead of root for text console
    • システムのセキュリティを強化するために、コンソールアクセスにもadminユーザーを導入しました。 新規インストールではデフォルトでこれが使用され、オプションで既存のインストールをこの新しいアプローチに移行できます。

 

 

 

 

関連記事