FortiSIEM 7.0.1 - B&B Bezpieczeństwo w biznesie

Fortinet udostępnił aktualizację dla produktu FortiSIEM o oznaczeniu wersji 7.0.1. Przeprowadzono aktualizację wersji Rocky Linux OS do wersji 8.8 oraz dokonano aktualizacji repozytoriów FortiSIEM dla Rocky Linux do 19 czerwca 2023. Wprowadzono usprawnienia wyzwalania zdarzeń dotyczących incydentów które dotyczą zoptymalizowanego wyszukiwania zdarzeń inicjujących w interfejsie GUI.

Usprawnienia rozwiązania:

Aktualizacja Rocky Linux OS do wersji 8.8 oraz uwzględnienie opublikowanych aktualizacji Rocky Linux OS do 19 czerwca 2023. Obejmuje to wszystkie usprawnienia i poprawki w systemie operacyjnym Rocky Linux.
Aktualizacja repozytoriów FortiSIEM dla Rocky Linux (os-pkgs-cdn.fortisiem.fortinet.com i os-pkgs-r8.fortisiem.fortinet.com) do 19 czerwca 2023. To pozwala klientom korzystającym z wersji 6.4.1 i nowszych na aktualizację systemu operacyjnego Rocky Linux, postępując zgodnie z procedurą opisaną w FortiSIEM OS Update Procedure.
Wprowadzone usprawnienia dotyczą zoptymalizowanego wyszukiwania zdarzeń inicjujących dla Incydentów w interfejsie GUI. W poprzednich wersjach, zdarzenia inicjujące były wyszukiwane w oknie First Seen Time i Last Seen Time, co może być bardzo duże, jeśli incydent stale się powtarza i nie zostaje rozwiązany. W takich przypadkach GUI może nie wyświetlić zdarzeń inicjujących. W nowym rozwiązaniu, dla danego Incydentu wyświetlane są jedynie ostatnie 100 zdarzeń inicjujących w okresie maksymalnie 30 dni. W przypadku ClickHouse, pole eventType jest przechowywane dla każdego zdarzenia inicjującego i używane w zapytaniach. Ponieważ eventType jest indeksem podstawowym ClickHouse, zapytania są szybsze, jednak dodatkowa optymalizacja wpływa na nowsze incydenty. W skrócie, usprawnienia te poprawiają wydajność wyświetlania zdarzeń inicjujących w GUI, zwłaszcza dla długotrwałych incydentów.

Rozwiązane problemy:

Bug Id	Severity	Module	Description
929885	Major	App Server	Test Connectivity & Discovery may get stuck with Database update 0% when a few discoveries are running.
922978	Major	Report	`ReportWorker` on EventDB environments may be slow in processing events and sending summaries to `ReportMaster`.
914571	Minor	Agent Manager	`phAgentManager` process memory grows, while receiving Kafka events, caused by a memory leak in the 3rd party librdkafka module.In this release, librdkafka module has been upgraded to the latest version. Our tests show that a FortiSIEM Collector with 8 vCPUand 24GB memory, can collect up to 4K EPS from Kafka.
923024	Minor	App Server	In GUI, switching user from Super Global to a specific Organization does not work unless the user belongs to all Organizations.
921351	Minor	App Server	Multiple Incident REST API issues are fixed: JSON APIs return error responses in JSON format, instead of XML format POST API filtering allow these event attributes: `eventSeverity`, `eventSeverityCat`, `phIncidentCategory`, `incidentStatus`, `customer,` `phCustId`, `incidentReso`, `incidentId` Two parameters are required for Trigger event queries – `timeFrom` and `timeTo`, to provide response to trigger event queries in reasonable time. These two parameters should not be more than 1 day apart. For details, see FortiSIEM REST API.
918854	Minor	App Server	`AppServer` incorrectly invalidates older log integrity XML data, resulting in these files not written to database.
917625	Minor	App Server	During CMDB Merge for Windows Agents, Windows GUID is considered for merging. This causes two different Windows Servers with different names but same IP or GUID to be merged into the same entry in CMDB.
921662	Minor	Data Purger	Excessive logging by `phDataPurger` when it hits a Value Group lookup error, fills up `/opt` disk.
921628	Minor	Elasticsearch	In Elasticsearch, the nesting of SUM and IF functions doesn’t work when IF operator is (>,<,>= or <=). An example is SUM(IF(( Event Severity >= 4 ),1,0)).
921451	Minor	Event Pulling Agents	Azure for US Govt does not work – (fails with correct credential).
928179	Minor	GUI	Machine Learning Report: Windows Process Interaction Ratio does not display correct data.
927794	Minor	GUI	If a nested function has aggregation but outer function is non-aggregate (e.g. LOG(SUM(X))), then whole function is treated as non-aggregate and included in GroupBY attribute list. This results in an invalid Query.
924367	Minor	GUI	New Entity Risk View in 7.0 shows only 10 Incidents in the time window. Now it shows all Incidents.
919768	Minor	GUI	Two issues are resolved for assigning Custom Design Templates assigned to a Report Folder under Resources > Reports: (a) If you are migrating from pre-7.0.0 release and you have Custom Design Templates assigned to a Report Folder under Resources > Reports, then Report Design Template migration process will not complete, (b) Cannot assign a custom Report Design Template to a Report Folder.
918931	Minor	GUI	Cannot execute FortiSOAR Playbook and run FortiSOAR Connector from Analytics page.
923667	Minor	Machine Learning	The Machine Learning algorithm fails to predict Incident Resolution for some new Incidents.
921060	Minor	Machine Learning	The Machine Learning algorithm to predict Incident Resolution does not work in Service Provider installations.
929009	Minor	Parser	The EPS in event `PH_SYSTEM_EPS_GLOBAL` is calculated incorrectly.
928414	Minor	Parser	`phParser` CPU may be high if event size is very large. This was noticed when receiving larger than 800KB events.
918150	Minor	System	Upgrade can fail when Rocky Linux OS repo DNS Name resolution fails.
918654	Enhancement	Parser	Make `phParser` EoL character recognition configurable for TLS syslog. The following `phoenix_config.txt` entry is added: `tcp_syslog_delimiter=0x0a # or 0x00,0x0a`
743793	Enhancement	Parser	Enable SASL_SSL (authentication plus encryption) for Kafka producer and consumer. In this release, there is no GUI support for this. Customer needs to choose SASL_PLAINTEXT on GUI and configure this in `phoenix_config.txt`. sasl_ssl_ca_cert=/etc/pki/kafka/ca-cert sasl_ssl_cert_file=/etc/pki/kafka/client_client.pem sasl_ssl_key_file=/etc/pki/kafka/client_client.key sasl_ssl_password= sasl_ssl_verify=true See the Appendix > Configuration Notes > Editing phoenix_config.txt File for guidance on changing the file. Specifically, on the Collector, you need to make the same change in 2 places: Change the `/opt/config/phoenix_config.txt` file on the Collector and restart the Collector. Make the same change on `/opt/phoenix/config/collector_config_template.txt`. This ensures that new Collectors registering will get the new parameters and the changes are preserved across upgrades.
914960	Enhancement	Systems	Reduce the number of CMDB backups to 1 per day to conserve space and facilitate upgrade.

Notatki producenta: FortiSIEM 7.0.1

Pozdrawiamy,

Zespół B&B
Bezpieczeństwo w biznesie

Post Views: 698

FortiSIEM fortisiem 7.0.1