Centro Assistenza ACSIA

Ricerca

Release Note ACSIA XDR v6.x.x

Nadia Riccardi
Nadia Riccardi
  • Aggiornato

Nuove funzioni nella v6.x.x

  • Nuova interfaccia utente: abbiamo riprogettato l'interfaccia per una migliore esperienza.
    Questo aspetto è moderno, con una nuova dashboard e un design che riduce le interazioni dei clienti, consentendo una risposta agli incidenti più rapida.

dashboard3.png

 

  • Nuovo Host Insight: Host Insight è una nuova funzionalità che offre una rapida panoramica della posizione di sicurezza dei client gestiti, mediante una valutazione effettuata utilizzando controlli di conformità e sicurezza.
  • Integrazione di BitDefender: Bitdefender previene e rileva le infezioni da malware. Questa nuova funzionalità consente ad ACSIA di implementare automaticamente Bitdefender sugli host e orchestrare il rilevamento.

    I clienti che utilizzano BitDefender possono integrarlo in ACSIA XDR Plus. Si richiede che il prodotto venga disinstallato, quindi reinstallato prima di riattivare l'antivirus.

integrations2.png

 

  • Systemd: Abbiamo introdotto questo servizio per consentire ad ACSIA di riavviarsi automaticamente dopo un riavvio.
  • Activation Code: Durante il primo login, è stato introdotto un banner in cui è possibile inserire il codice di licenza e finalizzare l'accesso. 
  • Role-based access control: Abbiamo introdotto un migliore controllo degli accessi basato sui ruoli nell'interfaccia utente. Gli utenti non abilitati come amministratori avranno un accesso limitato a molte funzioni e per lo più in modalità di sola lettura.
  • Informazioni nelle Live Notification: Nella pagina delle Live Notification abbiamo aggiunto due informazioni supplementari riguardo a un incidente: quando un evento viene espanso, è possibile vedere il tool e la web resource key.
  • Abilitato L'ordinamento delle tabelle per tutte le tabelle nell'interfaccia utente: l'utente può ordinare i dati facendo clic sull'intestazione della colonna.
  • Tutti i filtri di tabella sono stati rifattorizzati:
    • aggiunto pulsante “Clear filters” per reimpostare rapidamente tutti i filtri;
    • migliorato il comportamento del filtro durante la cancellazione di un campo di input;
    • nella Live Notifications abilitata la multiselezione per gravità e tipologia di evento; l'utente può filtrare i dati in base a più valori (ad esempio gravità "High" e "Critical" contemporaneamente);
    • Tutti i campi di ricerca delle schede Policies sono stati rielaborati e migliorati in una ricerca full-text
  • Per ogni tabella, la dimensione della pagina (numero di elementi mostrati per ogni pagina) viene ora memorizzata automaticamente nelle preferenze dell'utente.
  • In Color Preference, oltre al tema "light" e "dark", l'utente può scegliere che ACSIA segua e risponda ai cambiamenti del tema del sistema.
  • Nel profilo utente è stato aggiunto l'interruttore "Experimental mode": l'utente può abilitare un'anteprima per le funzionalità sperimentali dell'interfaccia utente.
  • Quando la "Experimental mode" è attiva, l'utente può scegliere il colore dell'accento preferito per l'interfaccia utente.

  • Bitdefender adesso può essere instalalto anche su host già distribuiti

  • in "audit logs", sotto "Action type", possiamo adesso vedere se un agente è “stopped/started”, “activated/deactivated”

  • in "Settings/User Settings" ora lo switch "Experimental mode" abilita i singoli switch per ogni funzionalità "in anteprima" disponibile. Quindi abbiamo sviluppato un interruttore globale per accedere a nuove funzionalità, ma puoi anche attivarne e disattivarne di diverse. Viene anche salvato nelle preferenze dell'utente.

1-experimental_mode.jpeg

  • abbiamo integrato il rilevamento dei brute force in Zimbra mail

 

Miglioramenti

  • Sysmon: Aggiornato alla nuova versione che blocca la scrittura di file eseguibili portabili (PE) su disco. Questa funzione è disabilitata di default e deve essere abilitata dagli utenti nella pagina delle impostazioni.

sysmon.png

  • Supporto Host Isolation IPv6
  • Funzionalità DNS SEC migliorate per crittografare le query DNS sugli host
  • Migliorata la stabilità del processo di reset della password
  • Introdotto un banner che gestisce la conferma delle azioni dell'utente (ad esempio, prima del logout)
  • La pagina Profile mostra il nome della macchina in alto
  • Il template delle email per il MFA è stato rivisto e migliorato
  • Migliorato l'AMF. Ora un codice alfanumerico alternativo al QR CODE viene fornito nell'interfaccia utente quando il 2FA è abilitato
  • Gli items di Gravity Zone sono visibili nel drop menù delle Live Notifications
  • Abilitato un tooltip con le regole per la password
  • Le password possono essere nascoste o mostrate nell'interfaccia utente
  • In Dashboards Insights il recupero dei dati è stato enormemente migliorato: in media, il tempo di caricamento è passato da 13 secondi a 3.
  • Nella Dashboard è stato migliorato il selettore dell'intervallo di tempo.
  • L'intera applicazione ACSIA è stata migrata da JavaScript a TypeScript e può contare su una base di codice più sicura, moderna, stabile e scalabile.
  • Il tempo di caricamento della pagina overview è stato ridotto
  • Abbiamo ridotto il tempo di caricamento quando l'utente apre l'app per la prima volta
  • abbiamo introdotto un nuovo time range selector, che è il primo di molti aggiornamenti in arrivo all UI
  • Nella "experimental mode", ora si possono creare dei gruppi ai quali è possibile aggiungere gli host. Questo apre a nuove funzionalità in arrivo a breve:

hostgrouping.gif

  • In generale, il font di tutte le tabelle è adesso più grande di 2 punti rispetto a prima. Inoltre, il colore del testo e del background hanno un maggior contrasto.

  • È stato sviluppato un nuovo componente per i messaggi di avviso. Il nuovo componente offre un modo più coerente di gestire i messaggi di errore e una maggiore flessibilità sullo stile, oltre che una durata persistente.

  • la "settings page" ora ha due diverse schede: "System settings" e "User settings". Nelle "user settings" possiamo gestire la "Experimental mode" con le relative funzionalità e le "interface preferences". Su "System settings" possiamo gestire le impostazioni relative al sistema

3-user_settings.jpeg2-system_settings.jpeg

  • Abbiamo migliorato le icone della sidebar

icons.jpeg

Correzioni nella v6.3.10:

  • Risolto ACR 402: corretto un errore di battutira quando si riceve la mail di test dopo aver configurato l'SMTP
  • Risolto ACR 407: migliorata l'installazione di Bitdefender quando lo si installa su macchine dove era già presente
  • Risolto ACR 408: migliorato il parsing dei log di Zimbra
  • Risolto ACR 411: migliorata la gestione degli endopints di Bitdefender

Correzioni nella v6.3.9:

  • Risolto ACR 389: migliorato il posizionamento dei logs di Bitdefender, migliorando il lavoro del Supporto
  • Risolto ACR 390: risolto un problema relativo alla vecchia UI che adesso aggiorna correttamente i loghi

Correzioni nella v6.3.8:

  • Risolto ACR 385: migliorata l'instalalzione di ACSIA su macchine macOS

Correzioni nella v6.3.7:

  • Risolto ACR 380: migliorata la connessione tra l'agente e Bitdefender
  • Risolto ACR 379: migliorata la network logs retention
  • Risolto ACR 382: se, a seguito di un attacco botnet, all'IP viene rimosso il ban, l'IP non può più essere bannato in caso di attacco di tipo bute force
  • Risolto ACR 383: risolto un problema di connettività tra ACSIA e MARIADB

Correzioni nella v6.3.6:

  • Risolto ACR 374: quando due host con lo stesso IP hanno già subuto il deploy con nomi diversi, ora vengono visualizzati entrambi nell'interfaccia utente
  • Risolto ACR 373: adesso abbiamo controlli più capillari sui profili nell'integrazione con Bitdefender, offrendo agli utenti la possibilità di gestire i controlli dell'antivirus in modo snello

Correzioni nella v6.3.5:

  • Risolto ACR 371: migliorata la strategia di comunicazione tra ACSIA e Bitdefender

Correzioni nella v6.3.4:

  • Risolto ACR 365: su macchine Windows, quando ci sono IP diversi in ACSIA e Gravity Zone, ora quando si recupera lo stato dell'agente non si riceve più un errore
  • Risolto ACR 367: per le licenze ACSIA full white-label, adesso la firma nelle email è customizzabile

Correzioni nella v6.3.3:

  • Risolto ACR 350: non viene più verificato se si è in ambiente Ubuntu Desktop o Server quando si installa ACSIA
  • Risolto ACR 355: sui dispositivi Mac, ora la pagine "devices" non è più vuota
  • Risolto ACR 359: quando aggiungiamo un IP in Policies, ora la pagina non si refresha
  • Risolt ACR 360: quando rimuoviamo un utente in Access Location, il modale è ora correlato all'azionedi delete
  • Risolto ACR 361: quando blocchiamo un utente su un modale, il modale ora si chiude. Se lo riapriamo, lo troviamo vuoto, come ci aspetteremmo

Correzioni nella v6.3.2:

  • Risolto ACR 342: abbiamo risolto il cattivo comportamento del 2FA che si era generato dopo che avevamo risolto l'ACR 337
  • Risolto ACR 343: il tasto "Make This User/Location Unauthorized" in in slack on nell'email ora funziona correttamente

Correzioni nella v6.3.1:

  • Risolto ACR 337: adesso, quando l'utente si logga, il 2FA funziona correttamente

Correzioni nella v6.3.0:

  • Risolto ACR 172: In HostExpandableRow, ora i log vengono restituiti come elenco anziché come valori nella stessa riga
  • Risolto ACR 205: i collegamenti alle azioni di notifica SLACK & EMAIL ora funzionano correttamente
  • Risolto ACR 197: nelle email, adesso viene visualizzato il logo "ACSIA Xdr Plus"
  • Risolto ACR 206: il sorting della Live Notification adesso funziona correttamente
  • Risolto ACR 241: mostra/nascondi password ora funziona correttamente
  • Risolto ACR 256: l'opzione di raggruppamento è visibile nell'elenco dei device quando si selezionano più host solo in Experimental Mode
  • Risolto ACR 258: quando un eseguibile portatile viene bloccato da sysmon, ora viene mostrata l'etichetta corretta nei Top 10 Attacks by category
  • Risolto ACR 305: adesso quando si salva un log path esistente senza modifiche il salvataggio funziona correttamente
  • Risolto ACR 325: Falco adesso parte correttamente anche su Ubuntu 22.04
  • Risolto ACR 271: nella Live Notifications, quando si filtra per Category, abbiamo rimosso l'etichetta "Access Human too many attempts"
  • Risolto ACR 314: adesso, quando si clicca su un link esterno, il bottone rimane cliccabile
  • Risolto ACR 330: quando un evento viene aperto mentre un altro è già in corso, ora Live Notification mostra quello in corso, come ci si aspetterebbe
  • Risolto ACR 333: adesso ACSIA può essere correttamente disinstallata dalla UI
  • Risolto ACR 334: adesso, quando si fa il refresh della pagina "Device", il software ci restituisce il comportamento che ci si aspetta

Correzioni nella v6.2.4:

  • Risolto ACR 171: in "Add or Edit an IP" i commenti non sono più lenti

  • Risolto ACR 181: "HostInsight" e il log rolling di Bitdefender ora sono nella whitelist e non emettono più 2 voci in “live notification” con severità elevata

  • Risolto ACR 180: quando il 2FA è disabilitato e viene digitato un codice errato, ora viene visualizzato un messaggio di errore

  • Risolto ACR 236: quando viene creato un nuovo “alias host” ora non si genera alcun errore

  • Risolto ACR 182: in "Insights", "time" e "ip address based" sono ora selezionabili

  • Risolto ACR 184: quando vengono creati i gruppi, ora gli agenti aggiunti sono immediatamente visibili

  • Risolto ACR 185: quando proviamo ad aggiungere un agente a un gruppo in cui si trova di già, adesso viene visualizzato un messaggio di errore

  • Risolto ACR 187: la "edit page" su "groups" ora funziona correttamente quando proviamo ad aggiungere o rimuovere agenti al suo interno

  • Risolto ACR 177: quando rilasciamo un host che non è in quarantena, ora compare un messaggio di errore

  • Risolto ACR 178: gli IP possono ora essere filtrati utilizzando il simbolo "/"

  • Risolto ACR 231: il tooltip è stato ripristinato com'era nella versione precedente della vista tabella dispositivi

  • Risolto ACR 303: in "modules", ora lo stato viene visualizzato correttamente quando viene cambiato

  • Risolto ACR 304: quando un log viene eliminato, adesso il popup mostra una corretta etichetta

  • Risolto ACR 306: ora una notifica disattivata può essere disattivata solo una volta

  • Risolto ACR 312: "Windows group manipulation" è adesso scritto correttamente

Correzioni nella v6.2.3:

  • Risolto: è ora possibile resettare l'IP blacklist in modal close
  • Risolto: i risultati di Query/Profile non restano più bloccati in "waiting" per host Windows
  • Risolto: sul pulsante "remove host", ora troviamo solo un'etichetta
  • Risolto: "Filter by attacker IP" ora funziona anche su Safari
  • Risolto: grazie al rilascio del nuovo agent, è stato risolto un problema con il login

Correzioni nella v6.2.2:

  • Risolto: quando banniamo un IP non ci viene più restituito "Unauthorized". Ora, tutti gli IP privati ​​possono essere opportunamente bannati se "private ip" è impostato su ON.
  • Risolto: le labels per gli IP privati ora:
    • mostrano gli eventi degli IP privati
    • visualizzano tutti gli eventi generati da IP privati nella Live Notification
  • Risolto: in Live Notification, quando in tabella filtriamo per "category" ora il filtro corrisponde alla colonna della categoria 
  • Risolto: il "Kill connection" è stato cambiato in "Temporary Ban". Sono state inoltre gestite altre 3 etichette per ulteriori sviluppi: "Temporarty banned", T"emporary unbanned" e "Unban"

Correzioni nella v6.2.1:

  • Risolto: host results ora restituisce correttamente i rapporti
  • Risolto: abbiamo aggiunto un filtro automatico nelle schede di gravità quando si è reindirizzati da Overview a Live Notification
  • Risolto: i grafici sono centrati e le labels non sono tagliate
  • Risolto: rimossa  la barra di scorrimento dove non era necessaria
  • Risolto: il tema del colore viene conservato e persiste nella pagina di accesso
  • Risolto: è stata corretta la gestione dell'integrazione di terze parti nelle Impostazioni 
  • Risolto: sono stati rimossi i riferimenti al sistema operativo dal titolo "NO queries"

Correzioni nella v6.2.0:

  • Risolto: il download del file con l'agente non è più un file vuoto

Correzioni nella v6.1.5:

  • Risolto: esecuzione delle query on demand. Le query ora vengono eseguite on demand, invece che ogni 6 ore
  • Risolto: alla prima installazione di ACSIA, l'utente predefinito è un amministratore
  • Risolto: rimossi i doppi filtri nelle Live Notifications

Correzioni nella v6.1.4:

  • Risolto: Rotazione della chiave GPG della repository Falco, per migliorare la sicurezza del package

Correzioni nella v6.1.3:

  • Risolto: Il QR code dell'autenticazione a due fattori non veniva visualizzato

Correzioni nella v6.1.1:

  • Risolto: Processo di reset della password

Correzioni nella v6.1.0:

  • Risolto: Modifica dell'Host Isolation status
  • Risolto: Host Visibility check sovrascritti su dati predefiniti applicati
  • Risolto: Le query del profilo non cambiavano lo stato
  • Risolto: Viene inviata un'e-mail di prova quando si configura l'indirizzo e-mail in Settings
  • Risolto: Configurazione e-mail senza autenticazione
  •  
  • Risolto: Nasconde le query del profilo dell'Host Visibility disabilitate
  • Risolto: Il menu di download dell'Host agent non era cliccabile
  • Risolto: La tabella Hosts era vuota dopo aver rilasciato ogni quarantined host

Correzioni nella v6.0.2:

  • Risolto: Sistemati i link sbagliati nelle azioni degli eventi ed in IoCs Blocked List.
  • Risolto: Bloccata la ricarica automatica della pagina live notification quando un evento è espanso.
  • Risolto: Cliccando su "Track this command" non apriva il popup con il risultato.
  • Risolto: Un nuovo host veniva aggiunto non veniva automaticamente visualizzato in host list.
  • Risolto: Le queries di Host Insight non visualizzavano alcun risultato.
  • Risolto: Togliendo il mute da una notifica, il banner verde rimaneve visibile in modo permanente.
  • Risolto: Rimossa la colonna host nella pagina Profiles.
  • Risolto: Rimosso il banner rosso che veniva mostrato dopo un login con MFA.
  • Risolto: La licenza non veniva visualizzata nelle impostazioni.
  • Risolto: Modificata le colonne in IP Banned per renderle più chiare.

Correzioni nella v6.0.1:

  • Risolto: Rimosso il caricamento infinito nelle tabelle vuote.
  • Risolto: Rimosso il popup 2FA che veniva visualizzato dopo il login.
  • Risolto: La live notification non caricava se chiamata subito dopo il login.

Correzioni nella v6.0.0:

  • Risolto: Salta l'analisi delle richieste dell'agente.
  • Risolto: pagina Whitelabel per percorsi Web inesistenti (ora reindirizzati all'indice)
  • Risolto: analisi mancante del blog del server ACSIA.
  • Risolto: mancata corrispondenza dell'interfaccia utente di Swagger con risposte reali.
  • Rimosso: Funzionalità Agentless

Come prepararsi per una nuova installazione? 

Le linee guida per una nuova installazione sono spiegate nella nostra guida ACSIA XDR Plus Installation and User Administration Guide - v6. 0.0 qui.

 

Come eseguire l'aggiornamento dalla versione 5.x.x alla V6.x.x? 

Per eseguire l'aggiornamento dalla versione 5. x.x, i clienti DEVONO eseguire lo script pre_update.sh prima di eseguire il comando acsia_update.

Per prima cosa, accedi come utente acsia: 

 sudo su - acsia

Quindi, crea all'interno del server acsia il file pre_update.
Assicurati che lo script sia eseguibile e avvialo utilizzando i seguenti comandi:

 chmod +x pre_update.sh
 ./pre_update.sh

Per completare l'aggiornamento dalla versione 5.x.x, l'utente acsia deve ora eseguire il comando:

acsia_update

 

Come eseguire l'aggiornamento dalla versione 6.x.x alla V6.x.x? 

Per eseguire l'aggiornamento dalla versione 6.x.x alla versione 6.x.x è necessario svolgere la seguente procedura:

Per prima cosa, si deve accedere come utente acsia: 

 sudo su - acsia

Quindi, si deve eseguire il comando:

acsia_update