20220711.0.0

cognitix Threat Defender Build 20220711.0.0 rollt einige neue Funktionen und Verbesserungen aus. Nachfolgend erfahren Sie was es Neues gibt.

Kompatibilität des Upgrades

Die folgenden früheren Builds sind mit cognitix Threat Defender Build 20220711.0.0 kompatibel:

Die Release Notes früherer Builds finden Sie unter Frühere Releases.

cognitix Threat Defender Build 20220711.0.0 ist mit genucenter 7.5 und genucenter 8.0 kompatibel.

Neue Funktionen und Verbesserungen

Verbesserungen am IDS/IPS

  • Wir haben einen mächtigeren Multi Pattern Matcher implementiert. Das führt zu folgenden Änderungen:

    • cognitix Threat Defender kann mehr Regeln abgleichen, insbesondere Regeln mit sehr kleinen Mustern (unter 4 Bytes).

    • Die Leistung wird verbessert.

    • Der Speicherbedarf korreliert nun stark mit der Größe der durchsuchten Muster, d.h. der geladenen Regeln. Für den aktuell bereitgestellten IPS-Regelsatz führt dies zu einem Anstieg von 308 MB auf 513 MB.

  • cognitix Threat Defender unterstützt die folgenden neuen oder verbesserten Keywords:

    • ja3.hash, ja3s.hash, ja3_hash

    • tls.cert_fingerprint, tls_cert_fingerprint

    • tls.fingerprint

    • tls.cert_serial

    • ssh.proto

  • cognitix Threat Defender unterstützt nun IP (TCP oder UDP) als neues Protokoll.

  • Wir liefern nun regelmäßig dedizierte Updates für IDS-Muster aus. Diese können auf zwei Arten installiert werden:

    • Online Update: Installieren Sie das Update cognitix IPS signatures über Settings > Updates (siehe auch cognitix Threat Defender updaten). Dadurch wird die Datei System IPS Rules.csv unter Threats > Intelligence Database > IPS Settings ersetzt. Sie können auch einen Zeitplan für automatische Updates einrichten.

    • Manuelles Update: Sie können neue Muster über https://files.cognitix.de/pattern/ids-rules.pfw herunterladen und manuell installieren.

Bemerkung

Dieses neue Release enthält viele Änderungen am IPS/IDS. Insbesondere Domänenregeln für bestimmte Top-Level-Domänen wurden geändert. Überprüfen Sie deshalb Ihre IPS-Regeleinstellungen, um Fehlalarme zu vermeiden.

Verbesserungen am Installer

  • Die Update- und Installer-Pakete sind jetzt robuster.

  • Um die Updatestabilität zu erhöhen, haben wir den Fallback auf die vorherige Version verbessert, die verwendet wird, falls bei der Installation eines Updates ein Fehler auftritt.

  • Wir haben auf AlmaLinux 8.6 aktualisiert.

  • cognitix Threat Defender unterstützt jetzt einen neuen Treiber für 2,5G-Netzwerkadapter von Intel (I225 Foxville).

Verbesserungen der Benutzeroberfläche

  • Der Login-Screen reagiert nun besser auf Benutzereingaben, um unnötige Klicks zu vermeiden. Wir haben auch die Fehlermeldung verbessert.

  • Die Fehlermeldung bei Asset-Aktionen mit leerem primären Asset ist jetzt verständlicher.

  • Wir haben die Proxyeinstellungen unter Settings > General vereinfacht.

  • Wir haben die Einträge unter Settings > System Actions gruppiert und Erklärungen hinzugefügt.

  • Zur Verbesserung der Leistung kann jetzt das komplette Incidents Log bis auf die 1.000 neuesten Einträge gelöscht werden.

  • Um Verwirrung zu vermeiden, zeigen Tabellen jetzt eine entsprechende Meldung an, wenn sie keine Daten enthalten.

  • Unter Inventory > Assets können Sie nun alle in der Tabelle sichtbaren Assets auf einmal aus- und abwählen.

  • Nach dem Wiederherstellen eines automatisch erstellten Backups und dem Anwenden der Konfiguration wird jetzt eine verständlichere Meldung angezeigt.

Verbesserungen der Dokumentation

  • Das Handbuch enthält nun ein Beispiel zur Installation von cognitix Threat Defender mittels virt-manager und QEMU/KVM. Siehe Virtuelle Umgebungen.

  • Sie erreichen die PDF-Version des Handbuchs nun einfacher über einen neuen Link oben auf jeder HTML-Seite.

Wichtige behobene Fehler

  • cognitix Threat Defender M- und L-Systeme leiten den Datenverkehr nun auch nach einem Neustart oder Update korrekt über SFP-Glasfaserverbindungen weiter.

  • Wir haben verschiedene UI-Probleme behoben:

    • Wenn die Spalte Last Seen in der Assets-Übersicht ausgeklappt ist, wird nun nur ein Scrollbalken angezeigt.

    • Wenn mehr als eine Updatedatei verfügbar ist, wird nun das ausgewählte Update korrekt installiert.

    • Das Feld Supported Attributes unter Threats > Intelligence Database > Summary zeigt nun die korrekte Anzahl Attribute, die cognitix Threat Defender unterstützt.

    • Die unter Threats > Overview angezeigte Anzahl von Zwischenfällen stimmt nun in allen Diagrammen korrekt überein.

    • Unter Inventory wird jetzt im Bereich Last Seen die Netzwerkschnittstelle von Assets korrekt aktualisiert.

Bekannte Fehler

Wenn die API stark ausgelastet ist, kann cognitix Threat Defender eine irreführende Meldung „Connection Issue“ anzeigen. Es kann außerdem vorkommen, dass Daten nicht vollständig angezeigt werden.

Upgradeanleitung und Voraussetzungen

Die Hardwareanforderungen für diese Build-Version finden Sie unter Systemvoraussetzungen.

Eine Anleitung zur Installation dieser Build-Version finden Sie unter cognitix Threat Defender updaten.