Nuevas funcionalidades y mejoras
SIEM: Informes, búsqueda por campos dinámicos y parseo de logs en CLI
Se incorporan tres tiempos de informes nuevos para mostrar información del SIEM:
- Lista de eventos: Una lista en formato tabla de los eventos SIEM generados.
- Grafíca histórica: Distintas formas de representar con gráficas los eventos SIEM generados, agrupando por agente, severidad, nivel, etc.
- Estadísticas: Unos contadores totales de la cantidad de eventos SIEM generados, y agrupados por severidad.
También se han mejorado los filtros de búsqueda, permitiendo un mejor filtrado mediante campos dinámicos.
Se ha incorporado una funcionalidad al CLI de Pandora FMS que permitirá evaluar una línea de log y obtener como resultado los eventos SIEM que generaría, facilitando a los administradores la labor de gestionar decoders y rules.
Vista de agente renovada
La vista principal de los agentes se ha renovado para facilitar la visión general de los datos más relevantes, como son los contadores de módulos por estados, eventos generados, alertas disparadas, información principal del agente y otros aspectos de monitorización.
Más información en gráficas de módulos
Las gráficas simples de los módulos ahora cuentan con un cuadro de información adicional que resulta útil para una rápida visualización.
Actualización de filtros en vistas de eventos y de agentes
De acuerdo a los nuevos estilos de la Consola web de Pandora FMS se han actualizados las vistas de eventos y agentes para hacer uso del nuevo sistema de filtros.
OAuth en Gmail
Para mayor seguridad, ahora es posible configurar el envío de correos mediante Gmail® con autenticación OAuth.
Uso de CSS personalizado
Con el objetivo de ofrecer una mayor personalización en la Consola web de Pandora FMS hemos habilitado la posibilidad de configurar estilos personalizados mediante un fichero CSS adicional.
De esta forma los usuarios que requieran de una mayor personalización del interfaz podrán lograrlo sin problema.
Balanceo de carga automática en chequeos remotos
Hemos implementado que en entornos con múltiples servidores se pueda configurar un agente para que la ejecución de sus módulos se balancee automáticamente entre cualquiera de los servidores remotos disponibles, también se podrá forzar a un servidor concreto.
En cuanto al alta disponibilidad (HA) también será posible habilitarla o deshabilitarla para los agentes, dando una mayor capacidad de configuración en entornos distribuidos.
Mejoras en autoprovisión de agentes
En entornos con Command Center el sistema de autoprovisión de agentes ha sido mejorado y optimizado para tratar de evitar la duplicación de configuraciones remotas en los agentes software y asegurar el inicio de la monitorización lo antes posible de forma transparente para el usuario.
IoT Discovery Plugin
Se ha incluido un nuevo plugin de monitorización de IoT dentro de las opciones del servidor Discovery PFMS. Permitirá monitorizar los mensajes de un servidor MQTT y generar módulos bajo distintas condiciones.
VMware Horizon Discovery Plugin
También se ha incluido un plugin de monitorización para VMware Horizon en el servidor Discovery PFMS.
Grupos para servidores satélite
Los administradores de entornos distribuidos podrán ahora configurar los Satellite server que tengan dentro de un grupo concreto, permitiendo limitar el acceso a la configuración de dicho servidor a más usuarios sin darles acceso total a la gestión de servidores.
SSL en la base de datos de Pandora FMS
Toda la arquitectura de Pandora FMS cuenta ahora con las opciones necesarias para configurar una base de datos MySQL® con SSL, para todas las bases de datos usadas por la aplicación.
Eliminados algunos paquetes .disco de la distribución automática
Para hacer más ligeros los paquetes de instalación de Pandora FMS se han eliminado algunos paquetes de Discovery PFMS de la distribución automática.
Esto no significa que estos paquetes no vayan a estar disponibles, ya que se podrá acceder a ellos desde la librería de Pandora FMS.
Este cambio solo implica que el código de esos paquetes .disco no se actualizará automáticamente con cada nueva versión, si no que deberán actualizarse desde la Consola web de Pandora FMS.
Estos paquetes son:
- pandorafms.digitalocean
- pandorafms.openshift
- pandorafms.proxmox
- pandorafms.db2
- pandorafms.gcp.ce
Agrupación de eventos SIEM
Al igual que con los eventos normales, ahora los eventos SIEM se pueden agrupar cuando están repetidos.
Mejora en la edicion de usuarios
Se ha reescrito la interfaz de edición de usuarios, mejorando el sistema de búsquedas y la visualización de los datos respecto a la versión anterior.
Discontinuidad de informes XML
En la versión 780 se informó de la futura discontinuidad de informes XML de la consola de Pandora FMS, y en esta versión se ha hecho efectivo.
Mejoras y pequeños cambios
| Caso# | GitLab# | Descripción |
|---|---|---|
|
N/A |
10814 |
Nueva funcionalidad Pandora IoT server, un plugin para monitorización de IoT y los componentes necesarios para dicho propósito. |
|
16289 |
12084
|
En la creación de paradas planificadas de tipo Disable only alerts se puede seleccionar un agente y todos sus módulos o solamente algunos de ellos, de manera específica. |
|
N/A |
13906 |
Nuevo plugin JMX querier para monitorizar aplicaciones Java. |
|
N/A |
14338
|
Implementada auditoría de datos e información en Pandora RMM. |
|
N/A |
14967 |
Añadida funcionalidad que permite editar un CSS personalizado para la Consola web que conserva sus valores entre actualizaciones. |
|
18717 |
15004 |
En el plugin para monitorizar VMware® admite deshabilitación del parámetro de intervalo de reconocimiento. |
|
N/A |
15010
|
Añadida opción de configuración de OAuth 2.0 para Google® en correo electrónico. |
|
N/A |
15103 |
Creados los informes SIEM: SIEM events list, SIEM events graph y SIEM statistics. |
|
N/A |
15111
|
Agregada plantilla de alerta de estado desconocido (solamente nuevas instalaciones PFMS). |
|
N/A |
15112
|
Agregadas nuevas macros: «_modulelaststatustime_», «_lastdatatimestamp_», «_lastdatatime_». |
|
N/A |
15161 |
Añadida automonitorización del tamaño de directorio de entrada de datos del PFMS server. |
|
19552 |
15265
|
Agregada indicación de estado silencioso en los agentes cuando se desactivan alertas en grupos principales o secundarios a los cuales pertenezca el agente o cuando se aplica el token de protección contra tormenta de eventos. |
|
19560 |
15282 |
Agregado icono azul con información dinámica de la última parada programada en los agentes y módulos. |
|
N/A |
15364 |
Agregado nuevo conector en Discovery PFMS para la monitorización de base de datos MS SQL Server®. También incluyen nuevos parámetros de conexión y nuevos módulos generados para los agentes correspondientes. |
|
N/A |
15365 |
Nuevo plugin experimental para monitorización de VMware Horizon® (Omnissa Horizon®). |
|
N/A |
15516
|
Renovada toda la funcionalidad de visualización de logs. Su menú de acceso ha sido cambiado a Operations→Logs. |
|
N/A |
15522
|
Nuevo comando parse_siem_log en la CLI PFMS para coadyuvar en el funcionamiento del SIEM PFMS. |
|
N/A |
15578 |
Agregada la compatibilidad con CEF logs (PFMS SIEM). |
|
N/A |
15745 |
Se ha optimizado plenamente la evaluación de reglas en SIEM PFMS. De esta manera es menor la lista de reglas a evaluar, excluyendo reglas por distintos criterios iniciales que se pueden comprobar de forma directa. |
Cambios y limitaciones conocidas
| Caso# | GitLab# | Descripción |
|---|---|---|
|
N/A |
2905
|
Agregados campos básicos y avanzados en alertas de log, alertas de eventos y alertas SIEM, lo cual permite almacenar estructuras más complejas (como los envíos de mensajes de correo electrónico) para las acciones que se ejecuten. |
|
N/A |
9752
|
Soporte de balanceo de carga en módulos remotos a nivel de agente. |
|
11950 |
7600
|
El comando add_agente_to_policy (CLI PFMS) funciona también en Command Center. |
|
18852 |
8977
|
El autoaprovisionamiento de agentes en Command Center ha sido reescrito y renovado. |
|
N/A |
13763 |
Se ha modificado el Metasetup en Command Center para asegurar las conexiones a la base de datos MySQL por medio de SSL. |
|
N/A |
14182 |
La sección de visualización de usuarios ha sido cambiada para incluir más información y funcionalidades adicionales. |
|
N/A |
14337 |
La ventana emergente para ayuda e información en la Consola web ha sido ampliada y ahora incluye barra de desplazamiento vertical. |
|
N/A |
14359 |
Agregada opción para duplicar scripts RMM. |
|
N/A |
14340 |
Satellite server SaaS con administración por grupos y ACL desde Consola web. |
|
N/A |
14523 |
Agregados avisos con información importante al activar y desactivar nodos en Command Center. |
|
N/A |
14700
|
La vista de agentes en Consola web ha sido renovada. |
|
N/A |
14751 |
Se ha implementado un indicador de carga de información en las vistas de monitorización para NetFlow® y sFlow®. |
|
N/A |
15026 |
Se omite la monitorización del servicio httpd-init del plugin autodiscover. Se limita la búsqueda a mayor profundidad de manera explícita y se ha logrado una mejora en la velocidad de recolección de datos. |
|
N/A |
15046 |
Fueron agregadas opciones avanzadas de búsqueda y filtrado en eventos SIEM. |
|
N/A |
15079
|
Informes en formato XML han sido retirados de la Consola web. |
|
N/A |
15108 |
Añadidos enlaces de descarga de instalación de Agentes Software y Satellite server en la Consola web. |
|
N/A |
15124 |
Agregado aviso y enlace en Consola web a configuración cuando SIEM se encuentre desactivado. |
|
N/A |
15162 |
El menú de funcionalidad IPAM PFMS fue movido a su sección propia en opción Management. |
|
N/A |
15442 |
Añadida versión de sistema operativo en vistas de detalle de agente e inventario principal. |
|
N/A |
15483
|
Los menú de agente, con accesos directos a diferentes subsecciones, fueron reformados. |
|
N/A |
15511 |
La ventana de gráficos de agente fue ampliada (navegador web Opera). |
|
N/A |
15520 |
Los Widgets SIEM (Dashboards) pueden utilizar filtros personalizados. |
|
N/A |
15545 |
La Consola web en la configuración de perfil de cada usuario muestra el último inicio de sesión, el actual y, si está activa la política de contraseñas, la fecha de vencimiento de la misma. |
|
N/A |
15554 |
Actualización de lista de aplicaciones a monitorizar en Discovery PFMS. |
|
N/A |
15577 |
Actualizados los enlaces a soporte desde la Consola web (nodos y Command Center). |
|
N/A |
15588 |
Las gráficas de módulos en gestión de agente le fue agregada información básica como tipo de módulo, último contacto, sistema operativo, etcétera. |
|
N/A |
15673 |
Nuevo diseño lateral de manejo de filtros en vista de eventos. |
|
N/A |
15690
|
Renovada la vista de detalle de agentes y agregados filtros laterales (nodos y Command Center). |
|
19986 |
15714
|
Establecidos mensajes de ayuda en configuración de LDAP con TLS. |
|
N/A |
15789 |
Evaluación de reglas SIEM son indiferentes al uso de mayúsculas y minúsculas. |
|
N/A |
16005
|
Los eventos SIEM se muestran agrupados por defecto y mostrando en cada ítem el número de elementos repetidos. |
Vulnerabilidades corregidas
| Caso# | GitLab# | Descripción |
|---|---|---|
|
N/A |
15139 |
Se han asegurado las conexiones entre nodos y Command Center. |
Correcciones de fallos
| Caso# | GitLab# | Descripción |
|---|---|---|
|
12867 |
8396 |
En operaciones masivas, opción de copia de módulos, fue corregido el filtro de agentes luego de cada operación de copia. |
|
N/A |
9385
|
Para el Tentacle server en modo proxy fue corregido el tratamiento de servidores DNS. Nueva compilación para entornos MS Windows®. |
|
N/A |
13691 |
Corregido el informe Module Event Report. |
|
N/A |
13703 |
Añadida compatibilidad de MADE PFMS con HA PFMS. |
|
17634 |
13722 |
En la API PFMS 1.0 fue corregida la llamada get collections_policy. |
|
17669 |
13745
|
El proceso de edición de un módulo, creado mediante un componente remoto, fue corregido. |
|
17684 |
13933
|
Visualmente (barras de desplazamiento) fueron corregido los siguientes widgets de Dashboards: General Group Status, Global Health Info, Agents Hive, Top N Events by agent, Top N Events by module. |
|
N/A |
13958 |
Fueron corregidos varios errores en el filtrado en la sección Log Viewer. |
|
18187 |
14084 |
El borrado masivo de agentes desde Command Center hacia los nodos fue corregido. |
|
N/A |
14169 |
En el widget Data Matrix (Dashboards) fue corregida la paginación de elementos. |
|
N/A |
14176 |
Corregido el conteo de eventos según severidad en el widget Event Cardboard. |
|
N/A |
14207
|
Corregidas las ejecuciones periódicas (CRON) del Discovery PFMS. |
|
N/A |
14231
|
Los módulos de ejecución remota para SSH en el PFMS server fueron reescritos y mejorados. |
|
18305 |
14259 |
En la monitorización de servicios han sido corregidos los intervalos de agentes con respecto de los servicios. |
|
N/A |
14275 |
Solventado error tipo SQL en informe «Agents inventory» (agentes con configuración remota). |
|
N/A |
14297 |
En Command Center el buscador general de la Consola web ha sido corregidos. |
|
N/A |
14302 |
La edición de informe de tipo «Inventory Changes» fue recuperada. |
|
N/A |
14506
|
En NetFlow explorer se insertó un manejo de excepciones al ejecutar ficheros necesarios para mostrar la información correspondiente. |
|
N/A |
14644 |
En la vista Manage servers fue corregida la visualización del estado de los servidores PFMS en modo HA (modo principal o secundario). |
|
19071 |
14715
|
Corregido enlace hacia Visual Console en Home screen de cada usuario. |
|
N/A |
14757 |
Se han refactorizado las plantillas para gráficos personalizados. |
|
N/A |
15015 |
Para su funcionamiento en Ubuntu, el Tentacle server fue actualizado en sus certificados de origen para cifrar debidamente las transmisiones de datos. |
|
N/A |
15158 |
Los derechos de acceso en Consola web de los usuarios con perfil Operator (Read) han sido corregidos. |
|
N/A |
15159 |
Se han afinado detalles visuales en Command Center para usuarios con perfil Operator (Read) y su interacción con la funcionalidad de alertas. |
|
N/A |
15160 |
Corregido el filtro de búsqueda en Consolas Visuales. |
|
19361 |
15034 |
En Command Center fue corregido el proceso de obtención del identificador único de cada nodo y evita el llenado innecesario de registros en la base de datos. |
|
N/A |
15086 |
La edición de alerta de log, cuando es cancelada mediante enlace de retorno, fue corregida. |
|
N/A |
15090
|
Las estadísticas de servidores PFMS fueron corregidas al ser activada la característica de multi procesamiento. |
|
N/A |
15109 |
La vista de logs SIEM en el Log viewer fue corregida. |
|
N/A |
15114 |
Vista Táctica fue solventada para que recoja información de SNMP traps. |
|
N/A |
15123 |
En Command Center fue corregida la búsqueda de colecciones desde la funcionalidad de política de monitorización. |
|
N/A |
15141
|
Los iconos de la funcionalidad Tree view en la Consola web del Command Center fueron corregidos. |
|
N/A |
15142 |
En el Agente Software para Unix fue corregida la búsqueda de ficheros MD5 correspondientes a los XML generados. |
|
N/A |
15143 |
En Command Center fue corregido el filtro de eventos por severidad cuando es invocado desde Tactical view. |
|
N/A |
15151 |
La búsqueda de agentes (Consola web) cuyo nombre contenga espacio fue corregida. |
|
20310 |
15155 |
Se han corregido los módulos en los servicios que son de tipo generic_data o generic_proc para que sean de tipo async_data o async_proc y el cálculo de SLA sea realizado de manera correcta. |
|
19314 |
15250
|
La paginación de resultados en Group View fue corregida. |
|
N/A |
15279 |
En la Consola Acústica para alarmas fueron incluidos los eventos propios del Command Center, manteniendo la vigilancia de los eventos recibidos de los nodos. |
|
N/A |
15312 |
Los umbrales máximos en la monitorización de memoria (y algunos otros módulos) fueron corregidos en los Agentes software tipo Unix®. |
|
19437 y 19627 |
15331 |
En los módulos de tipo SNMP fue agregada un excepción para cuando las interfaces de red son reiniciadas a cero en sus contadores. También fue agregada, sin perjuicio del parámetro de ejecución existente, la detección automática de su velocidad (100 ó 1000). |
|
N/A |
15352 |
La codificación de caracteres en idioma japonés fue corregida para cuando el token Change remote config encoding está activado y el idioma es asignado por políticas de monitorización. |
|
N/A |
15393 |
En System Audit Log fue corregido la selección de tiempo en el filtro de tiempo. |
|
N/A |
15400 |
En el filtrado de Log viewer la fecha y la hora de la Consola web se cambia a UTC antes de enviar los parámetros de búsqueda al servidor OpenSearch correspondiente. |
|
N/A |
15412 |
En Discovery PFMS, las Tareas de consola periódicas deshabilitadas fueron corregidas para que se calcule correctamente su próxima ejecución al ser habilitadas. |
|
N/A |
15451 |
Corregido el SysLogServer PFMS para el manejo de nuevas variables de “metadatos” y “source type”. |
|
N/A |
15472 |
La autocreación de usuarios en nodos vía Command Center (autenticación basada en LDAP) fue corregida. |
|
N/A |
15405 |
La autenticación local fue corregida para que se puede cambiar de manera dinámica entre el resto de las opciones (métodos LDAP, SAML y AD). |
|
N/A |
15515 |
La protección en cascada mediante selección de módulo en la configuración de un agente fue corregida. |
|
N/A |
15524 |
En los Dashboards el widget Heatmap fue configurado para que cargue por defecto los grupos de agentes. |
|
18805 |
15530 |
En la monitorización VMware® con Discovery PFMS se ha actualizado el plugin a la versión 1.8 la cual corrige el error de duplicidad de agentes y les asigna un nombre único. |
|
20042 |
15592 |
Solucionado un error de visualización en información de módulo (str_critical y str_warning) en Tree view. |
|
N/A |
15618
|
La longitud máxima de contraseña en políticas de contraseña ha sido cambiada a 150. |
|
N/A |
15645 |
Ajustado tamaño de ventana modal en añadir acción de alerta. |
|
N/A |
15651 |
El campo SNMP Agent IP address en alertas SNMP en Consola web fue marcado como campo opcional, al dejarlo sin valor permite admitir cualquier dirección IP. |
|
20017 |
15655 |
El conteo de agentes en estado desconocido en Tactical view fue solventado para que sea realizado en tiempo real con AJAX. |
|
N/A |
15656 |
Mejora visual de Gráficas de eventos / SIEM. |
|
N/A |
15671 |
El token Event storm protection ha sido revisado y corregido en su aplicación y funcionamiento. |
|
N/A |
15682 |
Solventado el uso de zoom y carga de información en la funcionalidad Log viewer. |
|
N/A |
15748 |
Visualización correcta de información de OID en el SNMP browser para ejecución de PFMS sobre Ubuntu server. |
|
N/A |
15784 |
La actualización Warp Update fue corregida para que muestre la barra de progreso de descarga cada cinco segundos. |
|
N/A |
15806 |
En Pandora FMS SIEM han sido solventados cuatro decoders que presentaban caracteres especiales sin el debido tratamiento de escape en su lectura. |
|
N/A |
15939 |
Corrección de codificación de caracteres en nombres de grupos para el Log Collector. |
|
N/A |
15978
|
En Discovery PFMS se ha corregido la estructura de la base de datos para las Recon tasks. |
|
N/A |
16051 |
En Command Center fue corregida la visualización en la vista Agent Detail. |
|
N/A |
16126 |
En la creación de políticas de monitorización la elección de un grupo es obligatoria. |
