Fortinet udostępnił aktualizację dla produktu FortiSIEM o oznaczeniu wersji 7.0.1. Przeprowadzono aktualizację wersji Rocky Linux OS do wersji 8.8 oraz dokonano aktualizacji repozytoriów FortiSIEM dla Rocky Linux do 19 czerwca 2023. Wprowadzono usprawnienia wyzwalania zdarzeń dotyczących incydentów które dotyczą zoptymalizowanego wyszukiwania zdarzeń inicjujących w interfejsie GUI.
Usprawnienia rozwiązania:
- Aktualizacja Rocky Linux OS do wersji 8.8 oraz uwzględnienie opublikowanych aktualizacji Rocky Linux OS do 19 czerwca 2023. Obejmuje to wszystkie usprawnienia i poprawki w systemie operacyjnym Rocky Linux.
- Aktualizacja repozytoriów FortiSIEM dla Rocky Linux (os-pkgs-cdn.fortisiem.fortinet.com i os-pkgs-r8.fortisiem.fortinet.com) do 19 czerwca 2023. To pozwala klientom korzystającym z wersji 6.4.1 i nowszych na aktualizację systemu operacyjnego Rocky Linux, postępując zgodnie z procedurą opisaną w FortiSIEM OS Update Procedure.
- Wprowadzone usprawnienia dotyczą zoptymalizowanego wyszukiwania zdarzeń inicjujących dla Incydentów w interfejsie GUI. W poprzednich wersjach, zdarzenia inicjujące były wyszukiwane w oknie First Seen Time i Last Seen Time, co może być bardzo duże, jeśli incydent stale się powtarza i nie zostaje rozwiązany. W takich przypadkach GUI może nie wyświetlić zdarzeń inicjujących. W nowym rozwiązaniu, dla danego Incydentu wyświetlane są jedynie ostatnie 100 zdarzeń inicjujących w okresie maksymalnie 30 dni. W przypadku ClickHouse, pole eventType jest przechowywane dla każdego zdarzenia inicjującego i używane w zapytaniach. Ponieważ eventType jest indeksem podstawowym ClickHouse, zapytania są szybsze, jednak dodatkowa optymalizacja wpływa na nowsze incydenty. W skrócie, usprawnienia te poprawiają wydajność wyświetlania zdarzeń inicjujących w GUI, zwłaszcza dla długotrwałych incydentów.
Rozwiązane problemy:
Bug Id | Severity | Module | Description |
---|---|---|---|
929885 | Major | App Server | Test Connectivity & Discovery may get stuck with Database update 0% when a few discoveries are running. |
922978 | Major | Report | ReportWorker on EventDB environments may be slow in processing events and sending summaries to ReportMaster . |
914571 | Minor | Agent Manager | phAgentManager process memory grows, while receiving Kafka events, caused by a memory leak in the 3rd party librdkafka module.In this release, librdkafka module has been upgraded to the latest version. Our tests show that a FortiSIEM Collector with 8 vCPUand 24GB memory, can collect up to 4K EPS from Kafka. |
923024 | Minor | App Server | In GUI, switching user from Super Global to a specific Organization does not work unless the user belongs to all Organizations. |
921351 | Minor | App Server | Multiple Incident REST API issues are fixed:
For details, see FortiSIEM REST API. |
918854 | Minor | App Server | AppServer incorrectly invalidates older log integrity XML data, resulting in these files not written to database. |
917625 | Minor | App Server | During CMDB Merge for Windows Agents, Windows GUID is considered for merging.
This causes two different Windows Servers with different names but same IP or GUID to be merged into the same entry in CMDB. |
921662 | Minor | Data Purger | Excessive logging by phDataPurger when it hits a Value Group lookup error, fills up /opt disk. |
921628 | Minor | Elasticsearch | In Elasticsearch, the nesting of SUM and IF functions doesn’t work when IF operator is (>,<,>= or <=). An example is SUM(IF(( Event Severity >= 4 ),1,0)). |
921451 | Minor | Event Pulling Agents | Azure for US Govt does not work – (fails with correct credential). |
928179 | Minor | GUI | Machine Learning Report: Windows Process Interaction Ratio does not display correct data. |
927794 | Minor | GUI | If a nested function has aggregation but outer function is non-aggregate (e.g. LOG(SUM(X))), then whole function is treated as non-aggregate and included in GroupBY attribute list. This results in an invalid Query. |
924367 | Minor | GUI | New Entity Risk View in 7.0 shows only 10 Incidents in the time window. Now it shows all Incidents. |
919768 | Minor | GUI | Two issues are resolved for assigning Custom Design Templates assigned to a Report Folder under Resources > Reports: (a) If you are migrating from pre-7.0.0 release and you have Custom Design Templates assigned to a Report Folder under Resources > Reports, then Report Design Template migration process will not complete, (b) Cannot assign a custom Report Design Template to a Report Folder. |
918931 | Minor | GUI | Cannot execute FortiSOAR Playbook and run FortiSOAR Connector from Analytics page. |
923667 | Minor | Machine Learning | The Machine Learning algorithm fails to predict Incident Resolution for some new Incidents. |
921060 | Minor | Machine Learning | The Machine Learning algorithm to predict Incident Resolution does not work in Service Provider installations. |
929009 | Minor | Parser | The EPS in event PH_SYSTEM_EPS_GLOBAL is calculated incorrectly. |
928414 | Minor | Parser | phParser CPU may be high if event size is very large. This was noticed when receiving larger than 800KB events. |
918150 | Minor | System | Upgrade can fail when Rocky Linux OS repo DNS Name resolution fails. |
918654 | Enhancement | Parser | Make phParser EoL character recognition configurable for TLS syslog. The following phoenix_config.txt entry is added:
|
743793 | Enhancement | Parser | Enable SASL_SSL (authentication plus encryption) for Kafka producer and consumer.
In this release, there is no GUI support for this. Customer needs to choose SASL_PLAINTEXT on GUI and configure this in sasl_ssl_ca_cert=/etc/pki/kafka/ca-cert sasl_ssl_cert_file=/etc/pki/kafka/client_client.pem sasl_ssl_key_file=/etc/pki/kafka/client_client.key sasl_ssl_password= sasl_ssl_verify=true
See the Appendix > Configuration Notes > Editing phoenix_config.txt File for guidance on changing the file. Specifically, on the Collector, you need to make the same change in 2 places:
|
914960 | Enhancement | Systems | Reduce the number of CMDB backups to 1 per day to conserve space and facilitate upgrade. |
Notatki producenta: FortiSIEM 7.0.1
Pozdrawiamy,
Zespół B&B
Bezpieczeństwo w biznesie