Loading
1. NOWOŚCI I ULEPSZENIA
1.1. Ulepszona prezentacja powiadomień
Jedną z największych zmian w tej wersji jest sposób, w jaki działamy z alertami. Ich zakres obejmuje następujące elementy:
1.1.1. Refaktoryzacja listy ostrzeżeń
Wprowadzamy odświeżony, zmodernizowany wygląd listy alertów, zwiększając przejrzystość wizualną i ułatwiając użytkownikom szybkie zrozumienie najważniejszych informacji. Nowy interfejs użytkownika zachowuje przejrzysty i uporządkowany wygląd, zapewniając płynne i estetyczne wrażenia z użytkowania.
Kliknięcie jednego z ostrzeżeń spowoduje jego rozwinięcie, odsłaniając bardziej szczegółowe informacje, które obejmują trzy zakładki:
Ponadto użytkownik może łatwo filtrować alerty, klikając ikonę filtra i wybierając pola:
Istnieje również możliwość ustawienia zakresu czasowego wyświetlania alertów poprzez kliknięcie ikony kalendarza:
1.1.2. Severity zamiast Alerts Score
W odpowiedzi na zmieniające się standardy branżowe i w celu zapewnienia użytkownikom bardziej intuicyjnej obsługi, zrezygnowaliśmy z używania terminu "wyniku alertów" (Alerts Score) na rzecz bardziej powszechnie rozpoznawalnego terminu "istotności" (Severity).
Zaimplementowane poziomy istotności to:
Aktualizacja ta dotyczy wielu części interfejsu. Po pierwsze, jest to lista alertów przedstawiona wcześniej w sekcji 1.1.1. tego dokumentu,
Po drugie, pasek boczny alertów:
Wreszcie integracje, w tym integracja SIEM (Syslog Forwarder). Wartość jest przesyłana w formie liczbowej. Podstawowy format dziennika (CEF):
Jan 18 11:07:53 host CEF:Version|Device Vendor|Device Product|Device Version|Device Event ClassID|Name|Severity|[Extension]
Pozostałe integracje obejmują Slack Notifications, Microsoft Teams Notifications, SMTP Notification, Webbook.
1.1.3. Rozszerzone mapowanie MITRE
Dodano mapowanie dla Fake credential usage detected - alertu, który pojawia się, gdy dwukierunkowa integracja wykryje użycie fałszywych poświadczeń.
1.2. Monitorowanie stanu usług
Począwszy od tej wersji, dodaliśmy funkcję sprawdzania statusów usług systemowych bezpośrednio z interfejsu internetowego.
W tym celu należy przejść do zakładki Nodes i wybrać węzeł, który nas interesuje. Następnie należy kliknąć w ikonę reprezentującą trzy kropki, aby uzyskać wyniki:
Usługi te obejmują:
1. Dla konsoli zarządzania (AdminVM):
2. Dla węzła roboczego (WorkerVM):
1.3. Rozszerzone informacje o alertach w publicznym interfejsie API
Uzyskując więcej informacji o konkretnym alercie za pośrednictwem publicznego interfejsu API, począwszy od bieżącej wersji, można otrzymać rozszerzone informacje na jego temat:
Obejmuje to dane o zaatakowanym Punkcie, takie jak:
Szczegółowy opis interfejsu REST API jest dostępny z poziomu konsoli Labyrinth::
https://
1.4. Nowe integracje: Energy LogServer
W wyniku partnerstwa technologicznego Labyrinth i Energy Logserver, platforma Labyrinth Deception jest teraz oficjalnie obsługiwana przez Logserver. Integracja ta umożliwia łatwe dostarczanie danych z systemu decepcji do serwera Logserver, gdzie następuje analiza danych, korelacja i wizualizacja.
Zaawansowany pulpit nawigacyjny w Logserver pokazuje wszystkie ataki, które zostały wykryte przez Punkty (wabiki sieciowe, które działają jako autonomiczne hosty w sieci z różnymi usługami, aby przyciągnąć atakującego) w ramach platformy Labyrinth Deception.
Energy Logserver to modułowa platforma, która zapewnia swoim użytkownikom technologie LogManagement, SIEM i SOAR.
Więcej informacji na temat Energy Logserver i jego najnowszej wersji można znaleźć na oficjalnej stronie internetowej.
1.5. Nowe integracje: webhooks
Celem integracji jest wysyłanie alertów za pośrednictwem protokołu HTTP(S) na adres URL określony w formularzu.
Do wprowadzenia danych potrzebne są:
Oto przykład komunikatu, który jest wysyłany na adres URL webhooka:
{
"alert": {
"reason": "Port scan detected (TCP SYN, e.g. nmap -sS -T4)",
"timestamp": "2023-09-06T13:04:03Z",
"destination_ip": "172.16.71.143",
"id": "167015ad-3d6d-4295-a2e1-b188c99333a7",
"source_ip": "172.16.254.2",
"honeynet": "208vlan",
"location": "labdev",
"hostname": "candlewood",
"point_id": "1c-5c3bba4e",
"point_ip": "172.16.71.143",
"point_type": "1c",
"mitre_te": "T1595",
"mitre_ta": "TA0043"
}
}
1.6. Zaktualizowany widok dla Wordlists
Widok dla zakładki Settings->Wordlists został zaktualizowany o widok listy słów w pojedynczej tabeli, podobnie jak tabele obecne w pozostałej części interfejsu (np. Points, Point types, Honeynets, itd.):
Wyświetlane informacje obejmują:
| Pole | Opis |
|---|---|
| Name/ID | Nazwa listy słów wybrana przez użytkownika |
| Type | Typ listy słów. Może być dowolna z następujących: nazwy hostów, nazwy użytkowników, hasła. |
| Words count | Liczba słów w słowniku |
| In Use | Wskazuje, czy lista słów jest używana w konfiguracji typu Honeynet/Point. |
| Description | Krótki opis |
Po kliknięciu w ikonę trzech kropek dostępne są następujące akcje:
Usunięte mogą zostać tylko nieużywane listy słów.
Oprócz tego zaktualizowano również formularz dodawania nowych list słów:
1.7. Aktualizacja logo
Przeprojektowanie platformy Labirynth znalazło swoje odzwierciedlenie również w interfejsie.
Jeśli chodzi o to wydanie, można zobaczyć nowe logo na:
1. stronie logowania
2. górnym pasku
2. POPRAWKI
2.1. Poprawione mapowanie MITRE ATT&CK ICS dla “Attempt to manipulate on CPU state (s7comm request)"
Próbę manipulowania stanem procesora (żądanie s7comm) sklasyfikowaliśmy jako TA0108 : T08066 ( Dostęp początkowy: Wykorzystanie usług zdalnych ).
Po dokładniejszym zbadaniu tego zdarzenia potwierdzono, że konieczna była zmiana klasyfikacji na TA0104 : T0858 ( Wykonanie : Zmiana trybu pracy ).
Zaktualizowane mapowanie ostrzeżenia:
2.2. Brak poprawnej wersji Labyrinth i poziomu istotności w polach CEF
Komunikat ostrzegawczy wysłany do SIEM za pośrednictwem syslog nie zawierał prawidłowej informacji o wersji Labyrinth i poziomu istotności. Teraz aktualna wersja Labiryntu jest dostępna w polach Common Event Format (CEF). W polu CEF podawany jest również poziom istotności jako wartość liczbowa, a w polu rozszerzenia CEF jest on reprezentowana w postaci ciągu znaków (np. severity=Low):
CEF:v2.0.54-3|Labyrinth Technologies|Point|0|LAB_ALERT|Connection to SMB resource detected|4|src=172.16.254.2 dst=172.16.66.104 pointType=samba-users honeynetID=honeynet01 location=labdev dvc=172.16.66.104 dvchost=thalassa deviceExternalId=samba-579df1d1 severity=Medium cs3=TA0007 cs3Label=Tactic cs4=T1135 cs4Label=Technique cs1=Connection to file share has been detected cs1Label=Description cs2=Identify the host of the source IP. Identify the owner of this host. Recommendation: Verify previous activity from Source IP. Continue monitoring Source IP activity. cs2Label=Playbook
Tutaj wersja Labyrinth to v2.0.54-3, a severity=Medium (reprezentacja numeryczna – 4).
2.3. Niewystarczająca walidacja certyfikatu TLS może prowadzić do nieprzewidywalnych wyników
Po przesłaniu certyfikatu i klucza TLS do Settings -> General -> SSL/TLS Certificate można uzyskać nieprzewidywalne wyniki z powodu następujących warunków:
Zgodnie z RFC 5246 Section 7.4.2 łańcuch certyfikacji ma ścisłą kolejność: certyfikat serwera, pośrednicy, urząd certyfikacji / główny urząd certyfikacji. W przeciwnym razie jest nieważny. Walidacja tego przypadku została dodana, aby uniknąć takich błędów.
2.4. Problem z generowaniem z powodu pewnych okoliczności
Z powodu nieprzewidywalnych warunków proces generowania przynęt na hostach tzw. seeder tasks może zawiesić się na długi okres czasu. Ten przypadek pojawia się rzadko, ale wymaga zaangażowania wsparcia Labyrinth. Tzw. warunek wyścigu (race condition) został naprawiony w bieżącej wersji Labyrinth.