Что ещё ожидать от 4.5
eBPF
eBPF коллектор создает события KOMRAD, используя технологию eBPF - технологию, позволяющую запускать сторонний код в пространстве ядра (если говорить поверхностно). В сфере информационной безопасности и, в частности, продукта KOMRAD, это значит, что благодаря eBPF можно получать информацию о событиях ядра, сетевом взаимодействии и многое другое.
eBPF коллектор основан на open-source продукте Tracee, позволяющем регистрировать и фильтровать множество событий (системные вызовы, передача пакетов и пр.).
Функция задокументирована
Конвертор Sigma в правило
Всем известны правила сигма, нас часто просили добавить конвертацию этих правил в KOMRAD. И мы это сделали, теперь можно вставить готовое правило в плагин и при срабатывании плагин запишет значение в поле. По этому полю можно строить корреляцию.
Функция задокументирована
Веб-скрейпинг или опрос по HTTP
Ранее HTTP-коллектор был пассивным агентом и ждал, пока другая система направит к нему события, но теперь появился плагин http-scraping, который может сам опрашивать сервисы, собирать коды ответов, запоминать их и создавать события, если код изменился, поможет уследить за сроком годности сертификатов и измерит скорость ответов других сервисов.
Функция задокументирована
Справочник MITRE ATT&CK и БДУ ФСТЭК
Уже сейчас можно вписать справочные данные принадлежности атаки в KOMRAD, но куда проще это сделать с готовым справочником, где подходящие техники и тактики можно будет просто накликать.
Возможность использовать двухф�акторную аутентификацию
Из внутренней безопасности есть журналы, уведомления, сертификаты, белые списки, а теперь добавится и второй фактор c использованием решения Multifactor.