NTM v24.4.19(核心代号“唐r5p9”)版本发布
1. 新增功能1.1.专业情报威胁态势感知大屏目前专业情报威胁态势大屏支持奇安信威胁情报源,该大屏主要展示网络流量中的恶意流量检测结果,并将流量交互情况动态展示在中国或世界地图上,大屏参数介绍具体如下:
序号参数简介
1威胁趋势图恶意流量命中次数趋势
2威胁类型分布恶意流量命中的情报类型分布
3危险等级分布奇安信威胁情报为恶意流量划分的危险等级
4检查数统计奇安信威胁情报检测包数
5命中数统计流量中命中情报的恶意对象(IP+端口或域名)
6受威胁源数统计目标为恶意对象的源IP数量与详情
7威胁目标数统计恶意目标IP的数量与详情
8威胁目标域名数统计恶意域名的数量与详情
9受威胁源IP统计TOP 5 的访问目标为恶意对象的源IP
10威胁目标IP统计TOP5的目标恶意IP
11威胁目标域名统计TOP5的目标恶意域名
1.2. 奇安信威胁情报白名单由于唐R5P8发布的奇安信威胁情报功能在一些客户场景下产生过多命中信息,而客户又想屏蔽掉某些不关注日志,因此开发威胁情报白名单功能,通过对命中对象的加白处理,可以过滤掉一些命中结果。支持域名或IP地址+端口组合。
1.3. 奇安信威胁情报告警通知增加基于奇安信威胁情报命中结果的系统告警功能。当恶意流量命中奇安信威胁情报时,设备将会根据用户设置的平台如钉钉,微信等,向用户发送告警通知。
1.4.IPv6数据包留存策略增加可基于指定源目IPv6地址的数据包留存策略,解决用户想要抓取指定IPv6地址数据包的需求。
1.5.会话查询条件源目地址过滤查询会话日志时不想查看不关注的源目IP地址,唐R5P9版本开放了源目地址过滤条件,可以在查询时针对源目IP地址进行过滤,不在查询结果中展示。
1.6.数据包时序图分析数据包时序图主要展示TCP会话中客户端与服务端之间的每个数据包之间的时间差,数值大代表两个包之间时延大,用户可以自定义阈值,将时延超过阈值的两包时间差值进行标红处理,标红的对象越多代表业务质量越差。并且针对数据包时间差值还进行图表展示,方便用户直观判定业务质量。
1.7.自定义快捷应用将常用功能模块或APP添加至Web页面“快捷应用”处,方便用户快速打开使用与管理。
1.8.告警策略命中会话展示命中所配置告警策略的会话。
2. 功能优化
2.1.设备唯一硬盘禁止格式化当设备仅有一块硬盘时,该硬盘为系统盘,数据包存储盘,会话日志存储盘,因此当该硬盘被格式化时,会导致系统文件被清除,设备无法正常启动。故此增加格式化限制,当设备仅有一块硬盘时,禁止格式化该盘。
2.2.增加奇安信威胁情报模块授权与设备授权规格不匹配提示当奇安信威胁情报模块授权规格小于设备授权规格时,导入后设备将提示授权规格无效。
2.3.会话日志增加显示“首包接口”会话流量模块会话日志新增“首包接口”展示,可显示该会话第一个包从哪张网卡接收。
3. 界面优化3.1.“账号备注”改为“用户账号”,并调整其列位置将所有模块的“账号备注”改为“用户账号”,并将其调整至“源IP”列前显示
3.2.会话流量模块会话日志“流量”统计增加单位显示会话日志的“流量”统计列增加单位换算显示,默认单位为 Byte。
3.3.奇安信威胁情报命中日志时间倒序展示将奇安信威胁情报命中会话日志按时间倒序进行排序展示,最新的命中日志在最上方,方便用户查询,提高查询效率。
3.4.“网络穿透”改为“跨境监测”该模块后期主要负责针对VPN,代理软件境外违法FQ行为的监测。
4.BUG修复
序号问题描述解决进度
1网络穿透模块导出Excel未包含账号信息已解决
2“网络穿透”,“威胁情报”模块分析模型没有弹窗显示详情已解决
3“当前会话”查询条件应用协议无法选择已解决
4“定向分析”模块网卡混杂模式无法区分流量上下行已解决
5跨三层取MAC后,“HTTP审计”模块MAC地址异常已解决
6质量白名单无法匹配应用协议已解决
7IDS持续向硬盘写入tls.log已解决
8“流量诊断”导出Excel内容与页面不符已解决
9“流量诊断”TOP应用协议不显示自定义协议已解决
10“应用协议大屏”速率显示异常已解决
5. 下载地址
免费版:
Linux:2024-3-7 11:05 上传
点击文件名下载附件
FreeBSD:
专业版:
Linux:
FreeBSD:
NTM--Lite(EX100C):
页:
[1]