リリース情報
マイナーバージョンとなりますが、複数の新機能がリリースされておりますので、本ページに記載いたします。
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2025年1月28日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.9.2
・EDA、ETAをアップグレードする前にReveal(x) 360が9.9.2以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.7以降へアップグレードしてください。
更新日:
2025年2月28日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2025年1月28日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.9.2
◎共通
<Dashboards>
・指定したエンドポイント間のネットワークトラフィックを監視するための「Network Peer Traffic Analysis」ダッシュボードが追加されました。
※グラフを表示するには、送信元のデバイスまたはデバイスグループを選択する必要があります。
・環境内でアクティブなリモートアクセス監視および管理ソフトウェアからのトラフィックを監視するための「Remote Monitoring and Management Tools」ダッシュボードが追加されました。
※グラフを表示するには、センサーを選択する必要があります。
・より多様なAIツールを監視できるように「Generative AI Tools」ダッシュボードが強化されました。
現在、以下のAIツールに対応しています。
※グラフを表示するには、センサーを選択する必要があります。
<Detections>
Detection Catalogのステータスは、以下に変更されました。
※以前は、「Active」または「Inactive」でした。
◎RevealX 360のみ
<Metrics and Protocols>
Uncommon Connectionsメトリックは廃止され、「Perimeter Overview」ページに表示されなくなり、「Records」ページのフィルターオプションとして使用できなくなりました。
<Security>
Splunk Enterprise Security SIEM統合が、Splunk用ExtraHop RevealXアプリと連携できるようになりました。このアプリは、Splunkで検知データのダッシュボードを提供します。
<Dashboards>
・指定したエンドポイント間のネットワークトラフィックを監視するための「Network Peer Traffic Analysis」ダッシュボードが追加されました。
※グラフを表示するには、送信元のデバイスまたはデバイスグループを選択する必要があります。
・環境内でアクティブなリモートアクセス監視および管理ソフトウェアからのトラフィックを監視するための「Remote Monitoring and Management Tools」ダッシュボードが追加されました。
※グラフを表示するには、センサーを選択する必要があります。
・より多様なAIツールを監視できるように「Generative AI Tools」ダッシュボードが強化されました。
現在、以下のAIツールに対応しています。
※グラフを表示するには、センサーを選択する必要があります。
- Amazon Bedrock
- Amazon Q Business
- Amazon Q Developer
- GitHub
- Copilot
- Azure AI Search
- Azure AI Services Frontend
- Azure AI Services Management
- Azure AI Studio
- Azure OpenAI
- Azure Security Copilot
- Microsoft Copilot
- OpenAI
- Hugging Face
- Meta AI
- Anthropic
- DeepSeek
- Amazon Q Business
- Amazon Q Developer
- GitHub
- Copilot
- Azure AI Search
- Azure AI Services Frontend
- Azure AI Services Management
- Azure AI Studio
- Azure OpenAI
- Azure Security Copilot
- Microsoft Copilot
- OpenAI
- Hugging Face
- Meta AI
- Anthropic
- DeepSeek
<Detections>
Detection Catalogのステータスは、以下に変更されました。
※以前は、「Active」または「Inactive」でした。
- Deploying:全てのセンサーで使用できるようになる前に、限られた数のExtraHopシステムで評価しています。これらの検知タイプは、多くのセンサーで使用できるようになる前に、徹底的なレビューに合格する必要があり、レビュー期間は、最大数週間かかる場合があります。レビューが完了すると、検知タイプのステータスが、「Production」に更新されます。
- Production:全てのセンサーで使用でき、環境内で検知を生成できます。
- End-of-Life:全てのセンサーから永久に削除され、新しい検知は生成されません。
※End-of-Lifeは、関連性の欠如、パフォーマンスの低下、誤検知率の高さ、新しい検知タイプによる陳腐化によりサポート終了としてマークされます。
- Production:全てのセンサーで使用でき、環境内で検知を生成できます。
- End-of-Life:全てのセンサーから永久に削除され、新しい検知は生成されません。
※End-of-Lifeは、関連性の欠如、パフォーマンスの低下、誤検知率の高さ、新しい検知タイプによる陳腐化によりサポート終了としてマークされます。
◎RevealX 360のみ
<Metrics and Protocols>
Uncommon Connectionsメトリックは廃止され、「Perimeter Overview」ページに表示されなくなり、「Records」ページのフィルターオプションとして使用できなくなりました。
<Security>
Splunk Enterprise Security SIEM統合が、Splunk用ExtraHop RevealXアプリと連携できるようになりました。このアプリは、Splunkで検知データのダッシュボードを提供します。
◎共通
<Administration>
スケジュールレポートは、ExtraHopシステムに設定したデフォルトのタイムゾーンに従って生成されるようになりました。
<Administration>
スケジュールレポートは、ExtraHopシステムに設定したデフォルトのタイムゾーンに従って生成されるようになりました。
■注意事項
・本OSにアップグレードするには、事前に9.4.0以降のバージョンとなっている必要があります。・EDA、ETAをアップグレードする前にReveal(x) 360が9.9.2以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.7以降へアップグレードしてください。
更新日:
2025年2月28日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2025年1月28日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.9.0
・本OSにアップグレードするには、事前に9.4.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.9.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.7以降へアップグレードしてください。
更新日:
2025年2月4日
ExtraHop社リリース日:2025年1月28日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.9.0
◎共通
<Administration>
・センサーの管理ページから、非アクティブな期間またはExtraHopシステムによって検出されたデバイスの数に基づいて、非アクティブデバイスをExtraHopシステムから自動で削除する設定を行うことができるようになりました。
・ExtraHopシステムで、SHA256ファイルハッシュ用の外部ルックアップツールリンクを設定できるようになりました。設定されたリンクは、Devices、Files、Records、Detectionsページに表示されます。
・管理者がレコードタイプを有効または無効にすると、そのイベントが監査ログに記録されるようになりました。
<Dashboards>
・ダッシュボードをフィルタリングして、ダッシュボードのソースと指定したピアIPアドレス間のトラフィックのみを表示することができるようになりました。
・NDRユーザーは、ダッシュボードを作成できるようになりました。
<Detections>
・検知の詳細ページで、検知に関連するアクティビティのタイムスタンプ付きログを表示できるようになりました。検知ログには、検知に関連する全ての更新と特定のアクティビティに関連するチューニングルールが一覧表示されます。
・検知デバイスのユーザー名をチューニングルールの基準として追加できるようになりました。
※ユーザー情報は、FTP、Kerberos、LDAP、NTLM、RDP、RPC、SMBプロトコルの特定検知でのみ利用可能です。
・検知タイプサマリーの一括アクションメニューから、新規または既存の調査に同じ検知タイプを一括で追加できるようになりました。
※対象の検知数を調整したい場合は、表示期間を変更してください。
・検知通知ルールをWebhookで送信する時にセンサーを経由して送信することを選択できるようになりました。
◎RevealX 360のみ
<Administration>
ExtraHopシステムの検出改善と最適化に役立つメタデータを共有するために、ExtraHop検出チームにリモートアクセスを許可する機能が追加されました。
<Assets>
デバイス検索およびデバイスグループのフィルタリング機能に、Integrationsから取得したクラウドデバイスのプロパティ項目が追加されました。
<ExtraHop System>
セキュリティオペレーションレポートの作成中にローディングアイコンが表示されるようになりました。
◎Reveal(x) Enterpriseのみ
<Administration>
ユーザーがExtraHopシステムにログインする際に情報を伝えるためのカスタムログイン画面メッセージを作成する機能が追加されました。
<Administration>
・センサーの管理ページから、非アクティブな期間またはExtraHopシステムによって検出されたデバイスの数に基づいて、非アクティブデバイスをExtraHopシステムから自動で削除する設定を行うことができるようになりました。
・ExtraHopシステムで、SHA256ファイルハッシュ用の外部ルックアップツールリンクを設定できるようになりました。設定されたリンクは、Devices、Files、Records、Detectionsページに表示されます。
・管理者がレコードタイプを有効または無効にすると、そのイベントが監査ログに記録されるようになりました。
<Dashboards>
・ダッシュボードをフィルタリングして、ダッシュボードのソースと指定したピアIPアドレス間のトラフィックのみを表示することができるようになりました。
・NDRユーザーは、ダッシュボードを作成できるようになりました。
<Detections>
・検知の詳細ページで、検知に関連するアクティビティのタイムスタンプ付きログを表示できるようになりました。検知ログには、検知に関連する全ての更新と特定のアクティビティに関連するチューニングルールが一覧表示されます。
・検知デバイスのユーザー名をチューニングルールの基準として追加できるようになりました。
※ユーザー情報は、FTP、Kerberos、LDAP、NTLM、RDP、RPC、SMBプロトコルの特定検知でのみ利用可能です。
・検知タイプサマリーの一括アクションメニューから、新規または既存の調査に同じ検知タイプを一括で追加できるようになりました。
※対象の検知数を調整したい場合は、表示期間を変更してください。
・検知通知ルールをWebhookで送信する時にセンサーを経由して送信することを選択できるようになりました。
◎RevealX 360のみ
<Administration>
ExtraHopシステムの検出改善と最適化に役立つメタデータを共有するために、ExtraHop検出チームにリモートアクセスを許可する機能が追加されました。
<Assets>
デバイス検索およびデバイスグループのフィルタリング機能に、Integrationsから取得したクラウドデバイスのプロパティ項目が追加されました。
<ExtraHop System>
セキュリティオペレーションレポートの作成中にローディングアイコンが表示されるようになりました。
◎Reveal(x) Enterpriseのみ
<Administration>
ユーザーがExtraHopシステムにログインする際に情報を伝えるためのカスタムログイン画面メッセージを作成する機能が追加されました。
◎共通
<Administration>
管理者がExtraHopクラウドサービスに接続または切断すると、そのイベントが監査ログに記録されるようになりました。<EX-60565>
<Assets>
複数のデバイスに同じカスタム名を割り当てようとすると、エラーメッセージ"Custom display name must be unique."が表示されるようになりました。<EX-60823>
◎RevealX 360のみ
<ExtraHop System>
Integration Webhookのデフォルトペイロードに追加のペイロードフィールドを選択してから接続をテストすると、テストペイロードに追加したペイロードフィールドが含まれるようになりました。以前は、テストペイロードには追加したペイロードフィールドは含まれていませんでした。<EX-60404>
<Administration>
管理者がExtraHopクラウドサービスに接続または切断すると、そのイベントが監査ログに記録されるようになりました。<EX-60565>
<Assets>
複数のデバイスに同じカスタム名を割り当てようとすると、エラーメッセージ"Custom display name must be unique."が表示されるようになりました。<EX-60823>
◎RevealX 360のみ
<ExtraHop System>
Integration Webhookのデフォルトペイロードに追加のペイロードフィールドを選択してから接続をテストすると、テストペイロードに追加したペイロードフィールドが含まれるようになりました。以前は、テストペイロードには追加したペイロードフィールドは含まれていませんでした。<EX-60404>
・次の脆弱性に対処するためにOpenJDKを更新しました。<EX-60928>
・次の脆弱性に対処するためにDOMPurifyを更新しました。<EX-60637>
■注意事項- CVE-2023-22006
- CVE-2023-22025
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22044
- CVE-2023-22045
- CVE-2023-22049
- CVE-2023-22067
- CVE-2023-22081
- CVE-2024-20918
- CVE-2024-20919
- CVE-2024-20921
- CVE-2024-20926
- CVE-2024-20932
- CVE-2024-20945
- CVE-2024-20952
- CVE-2024-21208
- CVE-2024-21210
- CVE-2024-21217
- CVE-2024-21235
- CVE-2023-22025
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22044
- CVE-2023-22045
- CVE-2023-22049
- CVE-2023-22067
- CVE-2023-22081
- CVE-2024-20918
- CVE-2024-20919
- CVE-2024-20921
- CVE-2024-20926
- CVE-2024-20932
- CVE-2024-20945
- CVE-2024-20952
- CVE-2024-21208
- CVE-2024-21210
- CVE-2024-21217
- CVE-2024-21235
・次の脆弱性に対処するためにDOMPurifyを更新しました。<EX-60637>
- CVE-2024-47875
- CVE-2024-45801
- SNYK-JS-DOMPURIFY-6474511
- CVE-2024-45801
- SNYK-JS-DOMPURIFY-6474511
・本OSにアップグレードするには、事前に9.4.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.9.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.7以降へアップグレードしてください。
更新日:
2025年2月4日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2024年10月21日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.8.0
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.8.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.6以降へアップグレードしてください。
更新日:
2024年11月8日
ExtraHop社リリース日:2024年10月21日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.8.0
◎共通
<Administration>
・管理者は、パケットから抽出されたzipファイルを開くために必要なパスワードを指定できるようになりました。
※デフォルトパスワードは、「caution」です。
・ドメイントラフィック復号化のために複数のドメインコントローラをセンサーへ登録する機能が追加されました。
※以前までは、センサー1台につき、1つのドメインコントローラのみが登録可能でした。
※設定するためには、センサーを9.8.0以降へアップグレードする必要があります。
<Assets>
・Modelデバイスフィルターが強化され、メーカ名によるフィルターができるようになりました。
・ハッシュ化されたファイル情報を、Assets -> Filesページで確認できるようになりました。
※本機能を利用するためには、センサーを9.8.0以降へアップグレードする必要があります。
※事前にFile Analysisページで設定する必要があります。
<Detections>
・DetectionsページとNotification Rulesページで設定可能な「Source」フィルターが「Participant」フィルターに名称が変更されました。これにより、検知に関連付けられている全てのデバイスまたはアプリケーションにフィルターが適切に反映されるようになりました。
・一部のDetection Typeでは、「How This Detector Works」セクションがDetectionsの詳細ページに表示されていましたが、Detection Catalogページからも同様の内容が確認できるようになりました。
<Metrics and Protocols>
・JSON Web Token (JWT) 形式のアクセストークンを使用したOAuthリクエストに関する以下のメトリックが追加されました。
・SMB (サーバメッセージブロック) クライアントおよびサーバ接続を介したREADおよびWRITEリクエストによるハイエントロピーファイルに関する以下のメトリックが追加されました。
・クライアントおよびサーバ接続におけるSOCKS (SOCKet Secure) プロトコルトラフィックに関する以下のメトリックが追加されました。
<Packets>
管理者は、ユーザにパケットヘッダのみをダウンロードできる権限を付与できるようになりました。
◎コンソールのみ
<Detections>
検知情報の更新ごと、または検知ごとに1つの通知のみをWebhookで送信できるように構成できるようになりました。
◎Reveal(x) 360のみ
<Administration>
・Notification Ruleを活用して以下のSIEM製品と統合できるようになりました。
・以下の製品へExtraHopデータをエクスポートできるようになりました。
<ExtraHop System>
CrowdStrike Falcon LogScale統合は非推奨のため、Integrationsページから削除されました。既存の統合は、Notification Ruleに移行されております。今後は、CrowdStrike Falcon Next-Gen SIEM統合を構成することをお勧めいたします。
<Security>
Security Operations Reportに含める内容を指定できるようになりました。
<Sensors>
管理者は、Sensor Access Controlを有効化することで、ユーザへ特定のセンサーのパケットのみにアクセスを制限することができるようになります。
※本機能を利用するためには、センサーを9.8.0以降へアップグレードする必要があります。
◎Reveal(x) Enterpriseのみ
<Administration>
監査ログデータをTLS経由でSyslogサーバへ送信できるようになりました。設定を変更される場合は、Admin -> Audit Log -> Configure Syslog Settingsページへ移動します。
※証明書は事前にAdmin -> Trusted Certificatesページより、ご登録ください。
<Administration>
・管理者は、パケットから抽出されたzipファイルを開くために必要なパスワードを指定できるようになりました。
※デフォルトパスワードは、「caution」です。
・ドメイントラフィック復号化のために複数のドメインコントローラをセンサーへ登録する機能が追加されました。
※以前までは、センサー1台につき、1つのドメインコントローラのみが登録可能でした。
※設定するためには、センサーを9.8.0以降へアップグレードする必要があります。
<Assets>
・Modelデバイスフィルターが強化され、メーカ名によるフィルターができるようになりました。
・ハッシュ化されたファイル情報を、Assets -> Filesページで確認できるようになりました。
※本機能を利用するためには、センサーを9.8.0以降へアップグレードする必要があります。
※事前にFile Analysisページで設定する必要があります。
<Detections>
・DetectionsページとNotification Rulesページで設定可能な「Source」フィルターが「Participant」フィルターに名称が変更されました。これにより、検知に関連付けられている全てのデバイスまたはアプリケーションにフィルターが適切に反映されるようになりました。
・一部のDetection Typeでは、「How This Detector Works」セクションがDetectionsの詳細ページに表示されていましたが、Detection Catalogページからも同様の内容が確認できるようになりました。
<Metrics and Protocols>
・JSON Web Token (JWT) 形式のアクセストークンを使用したOAuthリクエストに関する以下のメトリックが追加されました。
- HTTP Server - Requests by Algorithm
- HTTP Server - Requests by Audience
- HTTP Server - Requests with OAuth Client IDs
- HTTP Server - Requests with OAuth Client IDs by Client ID
- HTTP Server - Requests with OAuth Issuers by Issuer
- HTTP Client - Requests by Algorithm
- HTTP Client - Requests by Audience
- HTTP Client - Requests with OAuth Client IDs
- HTTP Client - Requests with OAuth Client IDs by Client ID
- HTTP Client - Requests with OAuth Issuers by Issuer
- HTTP Server - Requests by Audience
- HTTP Server - Requests with OAuth Client IDs
- HTTP Server - Requests with OAuth Client IDs by Client ID
- HTTP Server - Requests with OAuth Issuers by Issuer
- HTTP Client - Requests by Algorithm
- HTTP Client - Requests by Audience
- HTTP Client - Requests with OAuth Client IDs
- HTTP Client - Requests with OAuth Client IDs by Client ID
- HTTP Client - Requests with OAuth Issuers by Issuer
・SMB (サーバメッセージブロック) クライアントおよびサーバ接続を介したREADおよびWRITEリクエストによるハイエントロピーファイルに関する以下のメトリックが追加されました。
- SMB Server - High Entropy Files Read
- SMB Server - High Entropy Files Written
- SMB Server - High Entropy Files Written by Filename
- SMB Client - High Entropy Files Read
- SMB Client - High Entropy Files Written
- SMB Client - High Entropy Files Written by Filename
- SMB Server - High Entropy Files Written
- SMB Server - High Entropy Files Written by Filename
- SMB Client - High Entropy Files Read
- SMB Client - High Entropy Files Written
- SMB Client - High Entropy Files Written by Filename
・クライアントおよびサーバ接続におけるSOCKS (SOCKet Secure) プロトコルトラフィックに関する以下のメトリックが追加されました。
- SOCKS Server - SOCKS Bind Requests
- SOCKS Server - SOCKS Bind Requests by Client
- SOCKS Server - SOCKS Bind Responses
- SOCKS Server - SOCKS Bind Responses by Client
- SOCKS Server - SOCKS Connection Requests
- SOCKS Server - SOCKS Connection Requests by Client
- SOCKS Server - SOCKS Connection Responses
- SOCKS Server - SOCKS Connection Responses by Client
- SOCKS Server - SOCKS Association Requests
- SOCKS Server - SOCKS Association Requests by Client
- SOCKS Server - SOCKS Association Responses
- SOCKS Server - SOCKS Association Responses by Client
- SOCKS Client - SOCKS Bind Requests
- SOCKS Client - SOCKS Bind Requests by Server
- SOCKS Client - SOCKS Bind Responses
- SOCKS Client - SOCKS Bind Responses by Server
- SOCKS Client - SOCKS Connection Requests
- SOCKS Client - SOCKS Connection Requests by Server
- SOCKS Client - SOCKS Connection Responses
- SOCKS Client - SOCKS Connection Responses by Server
- SOCKS Client - SOCKS Association Requests
- SOCKS Client - SOCKS Association Requests by Server
- SOCKS Client - SOCKS Association Responses
- SOCKS Client - SOCKS Association Responses by Server
- SOCKS Server - SOCKS Bind Requests by Client
- SOCKS Server - SOCKS Bind Responses
- SOCKS Server - SOCKS Bind Responses by Client
- SOCKS Server - SOCKS Connection Requests
- SOCKS Server - SOCKS Connection Requests by Client
- SOCKS Server - SOCKS Connection Responses
- SOCKS Server - SOCKS Connection Responses by Client
- SOCKS Server - SOCKS Association Requests
- SOCKS Server - SOCKS Association Requests by Client
- SOCKS Server - SOCKS Association Responses
- SOCKS Server - SOCKS Association Responses by Client
- SOCKS Client - SOCKS Bind Requests
- SOCKS Client - SOCKS Bind Requests by Server
- SOCKS Client - SOCKS Bind Responses
- SOCKS Client - SOCKS Bind Responses by Server
- SOCKS Client - SOCKS Connection Requests
- SOCKS Client - SOCKS Connection Requests by Server
- SOCKS Client - SOCKS Connection Responses
- SOCKS Client - SOCKS Connection Responses by Server
- SOCKS Client - SOCKS Association Requests
- SOCKS Client - SOCKS Association Requests by Server
- SOCKS Client - SOCKS Association Responses
- SOCKS Client - SOCKS Association Responses by Server
<Packets>
管理者は、ユーザにパケットヘッダのみをダウンロードできる権限を付与できるようになりました。
◎コンソールのみ
<Detections>
検知情報の更新ごと、または検知ごとに1つの通知のみをWebhookで送信できるように構成できるようになりました。
◎Reveal(x) 360のみ
<Administration>
・Notification Ruleを活用して以下のSIEM製品と統合できるようになりました。
- CrowdStrike Falcon Next-Gen SIEM
- Splunk Enterprise Security SIEM
- Splunk Enterprise Security SIEM
・以下の製品へExtraHopデータをエクスポートできるようになりました。
- Axonius
- Cisco XDR
- LevelBlue
- Cisco XDR
- LevelBlue
<ExtraHop System>
CrowdStrike Falcon LogScale統合は非推奨のため、Integrationsページから削除されました。既存の統合は、Notification Ruleに移行されております。今後は、CrowdStrike Falcon Next-Gen SIEM統合を構成することをお勧めいたします。
<Security>
Security Operations Reportに含める内容を指定できるようになりました。
<Sensors>
管理者は、Sensor Access Controlを有効化することで、ユーザへ特定のセンサーのパケットのみにアクセスを制限することができるようになります。
※本機能を利用するためには、センサーを9.8.0以降へアップグレードする必要があります。
◎Reveal(x) Enterpriseのみ
<Administration>
監査ログデータをTLS経由でSyslogサーバへ送信できるようになりました。設定を変更される場合は、Admin -> Audit Log -> Configure Syslog Settingsページへ移動します。
※証明書は事前にAdmin -> Trusted Certificatesページより、ご登録ください。
◎コンソールのみ
<Detections>
EメールでPDFファイルとして送信されるSecurity Operations Reportには、空白のページが追加される古いヘッダとフッタが含まれなくなりました。<EX-59090>
<Detections>
EメールでPDFファイルとして送信されるSecurity Operations Reportには、空白のページが追加される古いヘッダとフッタが含まれなくなりました。<EX-59090>
・次の脆弱性に対処するためにMoment.jsを更新しました。<EX-59513>
・次の脆弱性に対処するためにDjangoを更新しました。<EX-59538>
・次の脆弱性に対処するためにx11-libs/cairoを更新しました。<EX-59544>
■注意事項- CVE-2022-24785
- CVE-2022-31129
- CVE-2022-31129
・次の脆弱性に対処するためにDjangoを更新しました。<EX-59538>
- CVE-2024-42005
・次の脆弱性に対処するためにx11-libs/cairoを更新しました。<EX-59544>
- CVE-2019-6461
- CVE-2019-6462
- CVE-2019-6462
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.8.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.6以降へアップグレードしてください。
更新日:
2024年11月8日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2024年7月26日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.7.0
◎共通
<Administration>
・ユーザが調査を作成、更新、削除した場合、そのイベントが監査ログに記録されるようになりました。
・シドニーとフランクフルトリージョン向けのお客様へAI検索アシスタント機能が追加されました。AI検索アシスタント機能はAssetsページとRecordsページで利用することができます。
<Assets>
Assetsページのフィルター項目に「Software Type」が追加され、ソフトウェアタイプでフィルターできるようになりました。
<Bundles>
Full read-only権限のユーザがバンドルをダウンロードできないように改善されました。
<Detections>
・登録したNetwork Localityの並び替えやフィルターができるようにテーブル形式で表示されるようになりました。
※こちらの変更に伴い、「Trusted Domains」は、Tuning Parametersページに移動しました。
・Perimeter Overviewページで同じホスト名を持つエンドポイントのトラフィックデータが結合されなくなりました。ホスト名の上にマウスカーソルを合わせると、エンドポイントのIPアドレスが表示されます。
・Executive Reportは、Security Operations Reportに名称が変更され、以下の機能が追加されました。
・検知詳細情報に「How This Detector Works」というセクションが追加されました。このセクションでは、以下の情報を追加で確認することができます。
※こちらは特定の検知結果にのみ表示されます。弊社検証環境では、「Data Exfiltration」と「Command-and-Control Endpoint Beaconing」に表示されることを確認しております。
<ExtraHop System>
SHA256ハッシュを生成するファイルを指定するためにFile Analysis機能が追加されました。SHA256ハッシュを生成することで脅威インテリジェンスに一致するハッシュ値によって検出を生成、レコード内でのファイルハッシュの検索、参照ができるようになります。
※本機能を利用するには、EDAを9.7.0以降にアップグレードする必要があります。
※設定の反映には数分かかります。
<Metrics and Protocols>
Trivial File Transfer Protocol (TFTP) の読み取りおよび書き込みに関する以下のメトリックが追加されました。
・QUIC Server ActivityとQUIC Client Activityが表示され、以下の情報を確認できるようになりました。
・Network Time Protocol (NTP) クライアントおよびサーバ接続に関する以下のメトリックが追加されました。
<Packets>
Packetsページより、パケットクエリ結果に関連付けられたファイルを抽出してダウンロードする機能が追加されました。
◎コンソールのみ
<Administration>
ビルトインダッシュボードの「System Usage」ダッシュボードに以下のチャートが追加されました。
<Dashboards>
ビルトインダッシュボードに「Microsoft Protocol Decryption」ダッシュボードが追加され、以下の情報を確認できるようになりました。
◎Reveal(x) 360のみ
<Records>
Rx360のAll Administrationページで表示可能なRecordstore Ingest and Capacityのチャートの表示期間を変更できるようになりました。以前は、過去60日間のレコード量のみ確認できましたが、現在は、過去30日、90日、180日の間隔が選択できます。
<Administration>
・ユーザが調査を作成、更新、削除した場合、そのイベントが監査ログに記録されるようになりました。
・シドニーとフランクフルトリージョン向けのお客様へAI検索アシスタント機能が追加されました。AI検索アシスタント機能はAssetsページとRecordsページで利用することができます。
<Assets>
Assetsページのフィルター項目に「Software Type」が追加され、ソフトウェアタイプでフィルターできるようになりました。
<Bundles>
Full read-only権限のユーザがバンドルをダウンロードできないように改善されました。
<Detections>
・登録したNetwork Localityの並び替えやフィルターができるようにテーブル形式で表示されるようになりました。
※こちらの変更に伴い、「Trusted Domains」は、Tuning Parametersページに移動しました。
・Perimeter Overviewページで同じホスト名を持つエンドポイントのトラフィックデータが結合されなくなりました。ホスト名の上にマウスカーソルを合わせると、エンドポイントのIPアドレスが表示されます。
・Executive Reportは、Security Operations Reportに名称が変更され、以下の機能が追加されました。
- 時間間隔とサイトを指定できるようになりました。
- 攻撃対象領域と脅威の範囲に関するシステムインジケータの概要が追加されました。
※時間間隔とサイトの指定は、コンソール (Rx360/ECA) のみの機能となります。
- 攻撃対象領域と脅威の範囲に関するシステムインジケータの概要が追加されました。
※時間間隔とサイトの指定は、コンソール (Rx360/ECA) のみの機能となります。
・検知詳細情報に「How This Detector Works」というセクションが追加されました。このセクションでは、以下の情報を追加で確認することができます。
※こちらは特定の検知結果にのみ表示されます。弊社検証環境では、「Data Exfiltration」と「Command-and-Control Endpoint Beaconing」に表示されることを確認しております。
- 何が検出されたか。
- 検出にはどのくらい時間がかかるか。
- トラフィックのソースは何か。
- この検出を調整できるか。
- 検出にはどのくらい時間がかかるか。
- トラフィックのソースは何か。
- この検出を調整できるか。
<ExtraHop System>
SHA256ハッシュを生成するファイルを指定するためにFile Analysis機能が追加されました。SHA256ハッシュを生成することで脅威インテリジェンスに一致するハッシュ値によって検出を生成、レコード内でのファイルハッシュの検索、参照ができるようになります。
※本機能を利用するには、EDAを9.7.0以降にアップグレードする必要があります。
※設定の反映には数分かかります。
<Metrics and Protocols>
Trivial File Transfer Protocol (TFTP) の読み取りおよび書き込みに関する以下のメトリックが追加されました。
- TFTP Server - Reads
- TFTP Server - Reads by Client
- TFTP Server - Reads by Filename
- TFTP Server - Reads by Filename by Client IP Address
- TFTP Server - Writes
- TFTP Server - Writes by Client
- TFTP Server - Writes by Filename
- TFTP Server - Writes by Filename by Client
- TFTP Server - Bytes Read
- TFTP Server - Bytes Read by Client
- TFTP Server - Bytes Read by Filename
- TFTP Server - Bytes Read by Filename by Client IP Address
- TFTP Server - Bytes Written
- TFTP Server - Bytes Written by Client
- TFTP Server - Bytes Written by Filename
- TFTP Server - Bytes Written by Filename by Client
- TFTP Server - Errors
- TFTP Server - Errors by Error
- TFTP Server - Errors by Error by Client IP Address
- TFTP Client - Reads
- TFTP Client - Reads by Server
- TFTP Client - Reads by Filename
- TFTP Client - Reads by Filename by Server IP Address
- TFTP Client - Writes
- TFTP Client - Writes by Server
- TFTP Client - Writes by Filename
- TFTP Client - Writes by Filename by Server IP Address
- TFTP Client - Bytes Read
- TFTP Client - Bytes Read by Server
- TFTP Client - Bytes Read by Filename
- TFTP Client - Bytes Read by Filename by Server IP Address
- TFTP Client - Bytes Written
- TFTP Client - Bytes Written by Server
- TFTP Client - Bytes Written by Filename
- TFTP Client - Bytes Written by Filename by Server IP Address
- TFTP Client - Errors
- TFTP Client - Errors by Error
- TFTP Client - Errors by Error by Server IP Address
- TFTP Server - Reads by Client
- TFTP Server - Reads by Filename
- TFTP Server - Reads by Filename by Client IP Address
- TFTP Server - Writes
- TFTP Server - Writes by Client
- TFTP Server - Writes by Filename
- TFTP Server - Writes by Filename by Client
- TFTP Server - Bytes Read
- TFTP Server - Bytes Read by Client
- TFTP Server - Bytes Read by Filename
- TFTP Server - Bytes Read by Filename by Client IP Address
- TFTP Server - Bytes Written
- TFTP Server - Bytes Written by Client
- TFTP Server - Bytes Written by Filename
- TFTP Server - Bytes Written by Filename by Client
- TFTP Server - Errors
- TFTP Server - Errors by Error
- TFTP Server - Errors by Error by Client IP Address
- TFTP Client - Reads
- TFTP Client - Reads by Server
- TFTP Client - Reads by Filename
- TFTP Client - Reads by Filename by Server IP Address
- TFTP Client - Writes
- TFTP Client - Writes by Server
- TFTP Client - Writes by Filename
- TFTP Client - Writes by Filename by Server IP Address
- TFTP Client - Bytes Read
- TFTP Client - Bytes Read by Server
- TFTP Client - Bytes Read by Filename
- TFTP Client - Bytes Read by Filename by Server IP Address
- TFTP Client - Bytes Written
- TFTP Client - Bytes Written by Server
- TFTP Client - Bytes Written by Filename
- TFTP Client - Bytes Written by Filename by Server IP Address
- TFTP Client - Errors
- TFTP Client - Errors by Error
- TFTP Client - Errors by Error by Server IP Address
・QUIC Server ActivityとQUIC Client Activityが表示され、以下の情報を確認できるようになりました。
- Connections
- Total Connections
- Top Group Members
- Top Domains (SNI)
- Total Connections
- Top Group Members
- Top Domains (SNI)
・Network Time Protocol (NTP) クライアントおよびサーバ接続に関する以下のメトリックが追加されました。
- NTP Server - Requests
- NTP Server - Responses
- NTP Client - Requests
- NTP Client - Responses
- NTP Server - Responses
- NTP Client - Requests
- NTP Client - Responses
<Packets>
Packetsページより、パケットクエリ結果に関連付けられたファイルを抽出してダウンロードする機能が追加されました。
◎コンソールのみ
<Administration>
ビルトインダッシュボードの「System Usage」ダッシュボードに以下のチャートが追加されました。
- Recommended Detections:トリアージが推奨された検出数
- Top Recommended Detections:トリアージが最も推奨された検出タイプ
- Total Closed Recommended Detections:クローズされた推奨検出の合計数
- Investigation Views:ユーザが作成した調査およびExtraHopシステムによって推奨された調査を閲覧した数
※ユーザがクリックまたは共有URLを介して調査を表示した時にカウントされます。
- Top Viewed Investigations:最も多く閲覧されたユーザが作成した調査またはExtraHopシステムによって推奨された調査の種類
- Total Investigation Views:ユーザが作成した調査およびExtraHopシステムによって推奨された調査の閲覧数の合計
- Investigations Created:作成された調査の数
※ユーザが作成した調査とExtraHopシステムによって推奨された調査の種類別に表示します。
- Top Recommended Investigations:ExtraHopシステムによって最も推奨された調査タイプ
- Total Investigations Created:ユーザが作成した調査の合計数とExtraHopシステムによって推奨された調査の合計数
- Top Recommended Detections:トリアージが最も推奨された検出タイプ
- Total Closed Recommended Detections:クローズされた推奨検出の合計数
- Investigation Views:ユーザが作成した調査およびExtraHopシステムによって推奨された調査を閲覧した数
※ユーザがクリックまたは共有URLを介して調査を表示した時にカウントされます。
- Top Viewed Investigations:最も多く閲覧されたユーザが作成した調査またはExtraHopシステムによって推奨された調査の種類
- Total Investigation Views:ユーザが作成した調査およびExtraHopシステムによって推奨された調査の閲覧数の合計
- Investigations Created:作成された調査の数
※ユーザが作成した調査とExtraHopシステムによって推奨された調査の種類別に表示します。
- Top Recommended Investigations:ExtraHopシステムによって最も推奨された調査タイプ
- Total Investigations Created:ユーザが作成した調査の合計数とExtraHopシステムによって推奨された調査の合計数
<Dashboards>
ビルトインダッシュボードに「Microsoft Protocol Decryption」ダッシュボードが追加され、以下の情報を確認できるようになりました。
- Successful Kerberos Decryption Attempts:ExtraHopシステムがKerberosの復号化に成功した数
- Unsuccessful Kerberos Decryption Attempts:ExtraHopシステムがKerberosの復号化に失敗した数を原因別に表示
- Unrecognized Server Principal Names:SPN (サーバプリンシパル名) が認識できないことが原因で復号化に失敗した数
- Invalid Kerberos Keys:無効なKerberosキーが生成されたことが原因で復号化に失敗した数
- Kerberos Decryption Errors:その他のエラーによりKerberosの復号化に失敗した数
- Top Server Principal Names:Kerberos復号化を施行した上位50個のSPN
- Unsuccessful Kerberos Decryption Attempts:ExtraHopシステムがKerberosの復号化に失敗した数を原因別に表示
- Unrecognized Server Principal Names:SPN (サーバプリンシパル名) が認識できないことが原因で復号化に失敗した数
- Invalid Kerberos Keys:無効なKerberosキーが生成されたことが原因で復号化に失敗した数
- Kerberos Decryption Errors:その他のエラーによりKerberosの復号化に失敗した数
- Top Server Principal Names:Kerberos復号化を施行した上位50個のSPN
◎Reveal(x) 360のみ
<Records>
Rx360のAll Administrationページで表示可能なRecordstore Ingest and Capacityのチャートの表示期間を変更できるようになりました。以前は、過去60日間のレコード量のみ確認できましたが、現在は、過去30日、90日、180日の間隔が選択できます。
◎共通
<Detections>
Gatewayロールを持つデバイスは、「Security Overview」ページのFrequent Offendersチャートに表示されなくなりました。
<Records>
CIFS Server ActivityやCIFS Client ActivityのSMBバージョンからレコードにドリルダウンした時にSMBバージョンがレコードフィルターに追加されない問題が解決されました。
<Triggers>
5分、1時間、24時間のメトリックサイクルは、次のトリガーで非推奨となりました。既存のトリガーは移行のリリースでサイクルがサポートされなくなるまで、これらのメトリックサイクルを実行することができますが、新しいトリガーでは、30秒のメトリックサイクルのみを構成できます。
◎Reveal(x) Enterpriseのみ
<Assets>
保存されたレコードクエリによって参照されるデバイスグループが削除され、存在しない場合、ExtraHopシステムのバックアップ作成が失敗する事象が解決されました。
<Detections>
Gatewayロールを持つデバイスは、「Security Overview」ページのFrequent Offendersチャートに表示されなくなりました。
<Records>
CIFS Server ActivityやCIFS Client ActivityのSMBバージョンからレコードにドリルダウンした時にSMBバージョンがレコードフィルターに追加されない問題が解決されました。
<Triggers>
5分、1時間、24時間のメトリックサイクルは、次のトリガーで非推奨となりました。既存のトリガーは移行のリリースでサイクルがサポートされなくなるまで、これらのメトリックサイクルを実行することができますが、新しいトリガーでは、30秒のメトリックサイクルのみを構成できます。
- METRIC_CYCLE_END
- METRIC_CYCLE_BEGIN
- METRIC_RECORD_COMMIT
- METRIC_CYCLE_BEGIN
- METRIC_RECORD_COMMIT
◎Reveal(x) Enterpriseのみ
<Assets>
保存されたレコードクエリによって参照されるデバイスグループが削除され、存在しない場合、ExtraHopシステムのバックアップ作成が失敗する事象が解決されました。
・次の脆弱性に対処するためにsys-apps/lessを更新しました。<EX-58365>
・次の脆弱性に対処するためにnet-misc/opensshを更新しました。<EX-58933>
・次の脆弱性に対処するためにwww-servers/apacheを更新しました。<EX-58932>
・次の脆弱性に対処するためにapp-crypt/mit-krb5を更新しました。<EX-58425>
・次の脆弱性に対処するためにAngularJSを更新しました。<EX-58852>
・次の脆弱性に対処するためにapp-arch/cpioを更新しました。<EX-58366>
■注意事項- CVE-2024-32487
・次の脆弱性に対処するためにnet-misc/opensshを更新しました。<EX-58933>
- CVE-2024-6387
・次の脆弱性に対処するためにwww-servers/apacheを更新しました。<EX-58932>
- CVE-2024-36387
- CVE-2024-38473
- CVE-2024-38474
- CVE-2024-38475
- CVE-2024-38476
- CVE-2024-38477
- CVE-2024-39573
- CVE-2024-38473
- CVE-2024-38474
- CVE-2024-38475
- CVE-2024-38476
- CVE-2024-38477
- CVE-2024-39573
・次の脆弱性に対処するためにapp-crypt/mit-krb5を更新しました。<EX-58425>
- CVE-2021-36222
- CVE-2021-37750
- CVE-2022-42898
- CVE-2023-36054
- CVE-2023-39975
- CVE-2021-37750
- CVE-2022-42898
- CVE-2023-36054
- CVE-2023-39975
・次の脆弱性に対処するためにAngularJSを更新しました。<EX-58852>
- CVE-2022-25844
- CVE-2022-25869
- CVE-2023-26116
- CVE-2023-26117
- CVE-2024-21490
- CVE-2022-25869
- CVE-2023-26116
- CVE-2023-26117
- CVE-2024-21490
・次の脆弱性に対処するためにapp-arch/cpioを更新しました。<EX-58366>
- CVE-2023-7207
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.7.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.5以降へアップグレードしてください。
更新日:
2024年8月6日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2024年4月24日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.6.0
◎共通
<Assets>
Assetsページへ新しく「Detection Activity」フィルターが追加され、Detectionに関する以下のデバイスでフィルターできるようになりました。
<Detections>
・Investigationsページは、以下のように更新されました。
・検知追跡機能が強化され、外部統合およびExtraHopシステム内の両方を選択できるようになりました。
<Metrics and Protocols>
QUICトランザクションとコネクションに関する以下のメトリックが追加されました。
<Packets>
Packetsページへ新しく「New Packet Query」が追加され、パケットの結果を表示する前にフィルタオプションを指定できるようになりました。
<Security>
Security Overviewページへ「Detection Types」チャートの代わりに「Investigations」チャートが追加されました。これにより、選択した期間中に作成または変更されたInvestigationsの数を表示することができます。
<Records>
Recordsページへ以下のフィールドが追加され、HTTP、SMB、FTP経由で送信される5MB未満の全ての実行可能ファイルに対するSHA256ハッシュ値を表示できるようになりました。
◎Consoleのみ
<ExtraHop System>
Overviewページから生成可能なExecutive Reportを定期的にメールで配送するようにスケジューリングできるようになりました。以前までは過去1週間分の情報のみでしたが、この機能により、過去1ヶ月以上の情報をレポート化できるようになりました。
<Threat Intelligence>
脅威インテリジェンスをTrusted Automated Exchange of Intelligence Information (TAXII) フィードを通じて、ExtraHopシステムに配信できるようになりました。
◎Reveal(x) Enterpriseのみ
<Detections>
管理者は、集団分析にファイルハッシュを含めることをオプトインして、悪意のあるファイルと無害なファイルの認識を向上させ、検出の品質を向上させることができるようになりました。
◎Reveal(x) 360のみ
<ExtraHop System>
ExtraHop Reveal(x) 360統合のカタログは拡張され、共同製品ソリューションを提供するベンダーへのリンクが追加されました。
<Assets>
Assetsページへ新しく「Detection Activity」フィルターが追加され、Detectionに関する以下のデバイスでフィルターできるようになりました。
- As Participant:攻撃デバイスまたは被害デバイス
- As Offender:攻撃デバイス
- As Victim:被害デバイス
- As Offender:攻撃デバイス
- As Victim:被害デバイス
<Detections>
・Investigationsページは、以下のように更新されました。
- 表示期間内のDetectionが含まれるInvestigationのみ表示するようになりました。(以前は、作成済みの全てのInvestigationを表示)
- Investigationsページの表に「Assignee」列、「Status」列、「Assessment」列、「Detections」列が追加されました。
- Investigationsの詳細ページに「SUMMARY」タブが追加され、関連するデバイス一覧、ステータス情報が確認できるようになりました。
- Investigationsページの表に「Assignee」列、「Status」列、「Assessment」列、「Detections」列が追加されました。
- Investigationsの詳細ページに「SUMMARY」タブが追加され、関連するデバイス一覧、ステータス情報が確認できるようになりました。
・検知追跡機能が強化され、外部統合およびExtraHopシステム内の両方を選択できるようになりました。
<Metrics and Protocols>
QUICトランザクションとコネクションに関する以下のメトリックが追加されました。
- QUIC Server - Bytes In by Server Name Indication
- QUIC Server - Bytes Out by Server Name Indication
- QUIC Client - Bytes In by Server Name Indication
- QUIC Client - Bytes Out by Server Name Indication
- QUIC Server - QUIC Connections
- QUIC Server - QUIC Connections by Client
- QUIC Server - QUIC Connections by Server Name Indication
- QUIC Server - QUIC Connections with Suspicious Hosts
- QUIC Server - QUIC Connections with Suspicious Hosts by Server Name Indication
- QUIC Client - QUIC Connections
- QUIC Client - QUIC Connections by Server
- QUIC Client - QUIC Connections by Server Name Indication
- QUIC Client - QUIC Connections with Suspicious Hosts
- QUIC Client - QUIC Connections with Suspicious Hosts by Server Name Indication
- QUIC Server - Bytes Out by Server Name Indication
- QUIC Client - Bytes In by Server Name Indication
- QUIC Client - Bytes Out by Server Name Indication
- QUIC Server - QUIC Connections
- QUIC Server - QUIC Connections by Client
- QUIC Server - QUIC Connections by Server Name Indication
- QUIC Server - QUIC Connections with Suspicious Hosts
- QUIC Server - QUIC Connections with Suspicious Hosts by Server Name Indication
- QUIC Client - QUIC Connections
- QUIC Client - QUIC Connections by Server
- QUIC Client - QUIC Connections by Server Name Indication
- QUIC Client - QUIC Connections with Suspicious Hosts
- QUIC Client - QUIC Connections with Suspicious Hosts by Server Name Indication
<Packets>
Packetsページへ新しく「New Packet Query」が追加され、パケットの結果を表示する前にフィルタオプションを指定できるようになりました。
<Security>
Security Overviewページへ「Detection Types」チャートの代わりに「Investigations」チャートが追加されました。これにより、選択した期間中に作成または変更されたInvestigationsの数を表示することができます。
<Records>
Recordsページへ以下のフィールドが追加され、HTTP、SMB、FTP経由で送信される5MB未満の全ての実行可能ファイルに対するSHA256ハッシュ値を表示できるようになりました。
- Request Payload SHA256
- Response Payload SHA256
- Request Filename
- Response Filename
- Response Payload SHA256
- Request Filename
- Response Filename
◎Consoleのみ
<ExtraHop System>
Overviewページから生成可能なExecutive Reportを定期的にメールで配送するようにスケジューリングできるようになりました。以前までは過去1週間分の情報のみでしたが、この機能により、過去1ヶ月以上の情報をレポート化できるようになりました。
<Threat Intelligence>
脅威インテリジェンスをTrusted Automated Exchange of Intelligence Information (TAXII) フィードを通じて、ExtraHopシステムに配信できるようになりました。
◎Reveal(x) Enterpriseのみ
<Detections>
管理者は、集団分析にファイルハッシュを含めることをオプトインして、悪意のあるファイルと無害なファイルの認識を向上させ、検出の品質を向上させることができるようになりました。
◎Reveal(x) 360のみ
<ExtraHop System>
ExtraHop Reveal(x) 360統合のカタログは拡張され、共同製品ソリューションを提供するベンダーへのリンクが追加されました。
◎共通
<Records>
ダッシュボードからデバイスグループのメトリックをドリルダウンし、虫眼鏡アイコンをクリックしてドリルダウンメトリックのレコードを表示すると、Recordsページのフィルターでデバイスグループが指定されるようになりました。<EX-52948>
※「Group Member」でドリルダウンした場合は、デバイスグループはフィルターされません。
<Records>
ダッシュボードからデバイスグループのメトリックをドリルダウンし、虫眼鏡アイコンをクリックしてドリルダウンメトリックのレコードを表示すると、Recordsページのフィルターでデバイスグループが指定されるようになりました。<EX-52948>
※「Group Member」でドリルダウンした場合は、デバイスグループはフィルターされません。
・次の脆弱性に対処するためにdev-java/openjdk-binを更新しました。<EX-56680>
・次の脆弱性に対処するためにsys-libs/glibcを更新しました。<EX-57287>
・次の脆弱性に対処するためにnet-nds/openldapを更新しました。<EX-57278>
・次の脆弱性に対処するためにsys-devel/binutilsを更新しました。<EX-56731>
・次の脆弱性に対処するためにwww-servers/apacheを更新しました。<EX-56664>
・次の脆弱性に対処するためにdev-libs/libxml2を更新しました。<EX-57351>
・次の脆弱性に対処するためにnet-misc/opensshを更新しました。<EX-56827>
■注意事項- CVE-2022-40433
- CVE-2023-22025
- CVE-2023-22067
- CVE-2023-22081
- CVE-2023-22025
- CVE-2023-22067
- CVE-2023-22081
・次の脆弱性に対処するためにsys-libs/glibcを更新しました。<EX-57287>
- CVE-2023-6246
- CVE-2023-6779
- CVE-2023-6780
- CVE-2023-6779
- CVE-2023-6780
・次の脆弱性に対処するためにnet-nds/openldapを更新しました。<EX-57278>
- CVE-2023-2953
・次の脆弱性に対処するためにsys-devel/binutilsを更新しました。<EX-56731>
- CVE-2022-38533
- CVE-2022-4285
- CVE-2020-19726
- CVE-2021-46174
- CVE-2022-35205
- CVE-2022-4285
- CVE-2020-19726
- CVE-2021-46174
- CVE-2022-35205
・次の脆弱性に対処するためにwww-servers/apacheを更新しました。<EX-56664>
- CVE-2023-31122
- CVE-2023-43622
- CVE-2023-45802
- CVE-2023-43622
- CVE-2023-45802
・次の脆弱性に対処するためにdev-libs/libxml2を更新しました。<EX-57351>
- CVE-2023-45322
- CVE-2024-25062
- CVE-2024-25062
・次の脆弱性に対処するためにnet-misc/opensshを更新しました。<EX-56827>
- CVE-2023-48795
- CVE-2023-51385
- CVE-2023-48795
- CVE-2023-51385
- CVE-2023-48795
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.6.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.4以降へアップグレードしてください。
更新日:
2024年5月9日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2024年3月20日
◎ECA/EDA
<Threat Intelligence>
脅威コレクションで指定された侵害のURIインジケーターの一部が認識できない問題が修正されました。<EX-57626>
■注意事項<Threat Intelligence>
脅威コレクションで指定された侵害のURIインジケーターの一部が認識できない問題が修正されました。<EX-57626>
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.5.3以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.3以降へアップグレードしてください。
更新日:
2024年5月9日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2024年2月21日
◎ECA/EDA
<Administration>
ユーザがアカウントのパスワードを更新すると、以下の情報が監査ログに出力されるようになりました。<EX-56868>
・User:パスワードを更新したユーザ
・Source IP:操作端末のIPアドレス
・API Key:-
・Operation:Password
・Details:Changed password for "<パスワード更新対象のユーザ>"
・Components:mgmt
■注意事項<Administration>
ユーザがアカウントのパスワードを更新すると、以下の情報が監査ログに出力されるようになりました。<EX-56868>
・User:パスワードを更新したユーザ
・Source IP:操作端末のIPアドレス
・API Key:-
・Operation:Password
・Details:Changed password for "<パスワード更新対象のユーザ>"
・Components:mgmt
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.5.2以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.3以降へアップグレードしてください。
更新日:
2024年5月9日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2024年1月30日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.5.0
◎共通
<Detections>
・チューニングルールの検知デバイスをホスト名又はドメイン名で指定できるようになりました。
※指定したドメインは全てのサブドメインが含まれます。
・検出カタログへ現在使用可能かどうかを識別するステータス情報を表示する「Status」列が追加されました。
・検出結果の詳細ページの担当者、ステータス、メモ情報を含んだPDFファイルを出力できるように修正されました。
・ネットワークパフォーマンス管理 (NPM) モジュールへのアクセスのみを持つユーザは、DetectionsページのTriageビューを表示できるようになりました。
<ExtraHop System>
Geomaps機能は非推奨となり、ExtraHopから機能が削除されました。代わりに「Perimeter Overview」ページの「Geolocation」タブを利用いただくことが推奨となりました。
<Metrics and Protocols>
・SMBのダイアレクトごとにリストされたSMBサーバ及びSMBクライアントの応答に関する以下のメトリックが追加されました。
・インターフェースごとのスループット、パケットレート、パケットエラーのメトリックを監視する以下のチャートがSystem HealthダッシュボードのData Feedリージョンに追加されました。
<Records>
SMBバージョン及びダイアレクトごとにCIFSレコードクエリを表示、フィルタする機能が追加されました。
<Threat Intelligence>
CrowdStrike Falconから厳選された脅威コレクションがExtraHopシステムでデフォルトで利用できるようになりました。CrowdStrike脅威コレクションでは、CrowdStrikeライセンスは不要で利用できます。
◎Consoleのみ
<Administration>
・All Administrationsページからアクティブデバイス数の推移を確認できるようになりました。これにより、組織のアクティブデバイス数を把握し、適切なライセンスを選択できます。
・過去30日間に観測されたアクティブデバイス数がライセンス制限に近い又は超えた場合に通知を送信できるようになりました。設定は、Notifications Rulesページから行うことができます。
<Detections>
検知カタログ内の検知タイプが追加又は更新された場合に通知を送信できるようになりました。
◎Reveal(x) 360のみ
Reveal(x) 360でExtraHop API Explorerが利用できるようになりました。これにより、Web上からAPIのリクエストを試すことができます。
利用するためには、ブラウザから「https://<Rx360ドメイン>/api/v1/explore/」へアクセスしてください。
※APIを利用するには、API Accessページより、Manage API Accessを有効化する必要がございます。
<Detections>
・チューニングルールの検知デバイスをホスト名又はドメイン名で指定できるようになりました。
※指定したドメインは全てのサブドメインが含まれます。
・検出カタログへ現在使用可能かどうかを識別するステータス情報を表示する「Status」列が追加されました。
- Active:センサーに検知ルールとして適用されている。
- Inactive:センサーから適用解除されている。
- -:カスタムルールであり、ステータスの表示はされない。
- Inactive:センサーから適用解除されている。
- -:カスタムルールであり、ステータスの表示はされない。
・検出結果の詳細ページの担当者、ステータス、メモ情報を含んだPDFファイルを出力できるように修正されました。
・ネットワークパフォーマンス管理 (NPM) モジュールへのアクセスのみを持つユーザは、DetectionsページのTriageビューを表示できるようになりました。
<ExtraHop System>
Geomaps機能は非推奨となり、ExtraHopから機能が削除されました。代わりに「Perimeter Overview」ページの「Geolocation」タブを利用いただくことが推奨となりました。
<Metrics and Protocols>
・SMBのダイアレクトごとにリストされたSMBサーバ及びSMBクライアントの応答に関する以下のメトリックが追加されました。
- CIFS Server - Responses by Dialect
- CIFS Server - Responses by Dialect by Client
- CIFS Client - Responses by Dialect
- CIFS Client - Responses by Dialect by Server
- CIFS Server - Responses by Dialect by Client
- CIFS Client - Responses by Dialect
- CIFS Client - Responses by Dialect by Server
・インターフェースごとのスループット、パケットレート、パケットエラーのメトリックを監視する以下のチャートがSystem HealthダッシュボードのData Feedリージョンに追加されました。
- Throughput by Interface:インターフェースごとのスループットを表示
- Packet Rate by Interface:インターフェースごとのパケットレート及びドロップしたパケット数を表示
- Packet Errors by Interface:インターフェースごとのパケットエラー数を表示
- Packet Rate by Interface:インターフェースごとのパケットレート及びドロップしたパケット数を表示
- Packet Errors by Interface:インターフェースごとのパケットエラー数を表示
<Records>
SMBバージョン及びダイアレクトごとにCIFSレコードクエリを表示、フィルタする機能が追加されました。
<Threat Intelligence>
CrowdStrike Falconから厳選された脅威コレクションがExtraHopシステムでデフォルトで利用できるようになりました。CrowdStrike脅威コレクションでは、CrowdStrikeライセンスは不要で利用できます。
◎Consoleのみ
<Administration>
・All Administrationsページからアクティブデバイス数の推移を確認できるようになりました。これにより、組織のアクティブデバイス数を把握し、適切なライセンスを選択できます。
・過去30日間に観測されたアクティブデバイス数がライセンス制限に近い又は超えた場合に通知を送信できるようになりました。設定は、Notifications Rulesページから行うことができます。
<Detections>
検知カタログ内の検知タイプが追加又は更新された場合に通知を送信できるようになりました。
◎Reveal(x) 360のみ
Reveal(x) 360でExtraHop API Explorerが利用できるようになりました。これにより、Web上からAPIのリクエストを試すことができます。
利用するためには、ブラウザから「https://<Rx360ドメイン>/api/v1/explore/」へアクセスしてください。
※APIを利用するには、API Accessページより、Manage API Accessを有効化する必要がございます。
◎共通
<Detections>
・Investigationsに含まれる非表示の検出は、Investigationsページに表示されたままになる問題が解決されました。<EX-55987>
※非表示の検出は、右側の調査マップから削除され、左側の調査タイムラインには引き続き表示されます。
・チューニングルールに登録したデバイス又はデバイスグループは、ルール保存後に編集できるようになりました。<EX-56666>
<Security>
Security Heardeningダッシュボードの「Sessions by Weak Cipher Suite」のタイトルをクリックし、「View More Cipher Suites」を選択することでExtraHopで観測した暗号スイート一覧を表示できるようになりました。<EX-41995>
■注意事項<Detections>
・Investigationsに含まれる非表示の検出は、Investigationsページに表示されたままになる問題が解決されました。<EX-55987>
※非表示の検出は、右側の調査マップから削除され、左側の調査タイムラインには引き続き表示されます。
・チューニングルールに登録したデバイス又はデバイスグループは、ルール保存後に編集できるようになりました。<EX-56666>
<Security>
Security Heardeningダッシュボードの「Sessions by Weak Cipher Suite」のタイトルをクリックし、「View More Cipher Suites」を選択することでExtraHopで観測した暗号スイート一覧を表示できるようになりました。<EX-41995>
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.5.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.3以降へアップグレードしてください。
更新日:
2024年2月13日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2023年10月25日
◎共通
<Administration>
以下の監査ログが出力できるようになりました。
・ネットワークローカリティ作成時
◎Reveal(x) 360のみ
<Records>
CrowdStrike Falcon Logscale統合を構成する時、以下のCrowdStrikeデータセンターをLogScaleホストとして指定する機能が追加されました。
・CrowdStrike Datacenter US-1
・CrowdStrike Datacenter US-2
<Administration>
以下の監査ログが出力できるようになりました。
・ネットワークローカリティ作成時
- Operation:Create Network Locality
- Details:New network locality: <定義名>
・ネットワークローカリティ変更時- Details:New network locality: <定義名>
- Operation:Modify Network Locality
- Details:Modified network locality: <定義名>
・ネットワークローカリティ削除時- Details:Modified network locality: <定義名>
- Operation:Delete Network Locality
- Details:Deleted network locality: <定義名>
・チューニングパラメータの項目有効化時- Details:Deleted network locality: <定義名>
- Operation:Enabled <項目名> tuning parameter.
- Details:Success
・チューニングパラメータの項目無効化時- Details:Success
- Operation:Disabled <項目名> tuning parameter.
- Details:Success
・チューニングパラメータの設定値追加/更新/削除時- Details:Success
- Operation:Modified <項目名> tuning parameter.
- Details:Modified <項目名>: <現在の設定値>
- Details:Modified <項目名>: <現在の設定値>
◎Reveal(x) 360のみ
<Records>
CrowdStrike Falcon Logscale統合を構成する時、以下のCrowdStrikeデータセンターをLogScaleホストとして指定する機能が追加されました。
・CrowdStrike Datacenter US-1
・CrowdStrike Datacenter US-2
◎Reveal(x) Enterprise
<Records>
センサー又はコンソールと接続しているレコードストアのフィンガープリントを更新すると、手動で再接続する必要がありましたが、こちらの問題が解決され、フィンガープリント更新後もレコードを継続して送信できるようになりました。
◎Reveal(x) 360
<Security>
TLS1.1プロトコルを介したReveal(x) 360への接続が出来なくなりました。
■注意事項<Records>
センサー又はコンソールと接続しているレコードストアのフィンガープリントを更新すると、手動で再接続する必要がありましたが、こちらの問題が解決され、フィンガープリント更新後もレコードを継続して送信できるようになりました。
◎Reveal(x) 360
<Security>
TLS1.1プロトコルを介したReveal(x) 360への接続が出来なくなりました。
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.4.2以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.2以降へアップグレードしてください。
更新日:
2024年2月13日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2023年9月21日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.4.0
◎共通
<Administration>
Netskopeソリューションからパケットを取り込んでデバイスを検出し、脅威を検出できるようになりました。ただし、以下の要求事項がございます。
・センサーで設定する必要があります。
・Netskopeパケットの取り込み専用センサーである必要があります。
・有効化している全てのインターフェースは、GENEVEカプセル化を含むモードを指定する必要があります。
・Netskope環境でTAPモードを構成する必要があります。
<Assets>
Perimeter Overviewページ上の[COUNTRIES]タブの名前が[GEOLOCATION]タブへ変更され、以下のように修正されました。
・表示方法が世界地図となり、各国の色の濃さによって通信量の多さを表示するようになりました。
・色付きの国をクリックすることでクリックした国を拡大表示し、通信量及び通信元の内部端末を表示できるようになりました。
<Dashboards>
クローズされた検知の種類を表示する詳細メトリックがSystem Usageダッシュボードへ追加されました。
<Detections>
・チューニングルールのOffender及びVictimで「External Scanning Service」が選択できるようになりました。これにより、外部スキャンサービスとして識別されたデバイスを検知除外できるようになりました。
・Detectionsページに同じ検知タイプに関して集約した情報を表示するSummaryビューが追加されました。同じ検知タイプを複数検知した場合、以下の情報を表示します。
・Summaryビューから同じ検知タイプの複数検知を一括でステータス変更できるようになりました。
・至急の対応を推奨する検知結果を表示するTriageビューが追加されました。以下の理由及びリスクスコアによって対応の優先度の高い順に検知結果を表示します。
・Security OverviewページのOpen Detectionsは、Recommended for Triageへ名称が変更され、至急の対応が推奨される検知 (黄色タグが表示されている検知) のみを表示するようになりました。
・Notification Rulesの通知基準として、"Recommended for Triage"をTrue又はFalseで選択することで、至急の対応が推奨される検知が発生した場合のみ通知する又はその他の検知が発生した場合のみ通知することができるようになりました。
◎Reveal(x) Enterpriseのみ
<ExtraHop System>
Reveal(x) Enterpriseコンソールからシステム通知ルールを作成する機能が追加されました。
以下のシステムイベントを通知することができます。
・Sensor connection warning or error
・Sensor firmware upgrade available
・License warning or error
<Administration>
Netskopeソリューションからパケットを取り込んでデバイスを検出し、脅威を検出できるようになりました。ただし、以下の要求事項がございます。
・センサーで設定する必要があります。
・Netskopeパケットの取り込み専用センサーである必要があります。
・有効化している全てのインターフェースは、GENEVEカプセル化を含むモードを指定する必要があります。
・Netskope環境でTAPモードを構成する必要があります。
<Assets>
Perimeter Overviewページ上の[COUNTRIES]タブの名前が[GEOLOCATION]タブへ変更され、以下のように修正されました。
・表示方法が世界地図となり、各国の色の濃さによって通信量の多さを表示するようになりました。
・色付きの国をクリックすることでクリックした国を拡大表示し、通信量及び通信元の内部端末を表示できるようになりました。
<Dashboards>
クローズされた検知の種類を表示する詳細メトリックがSystem Usageダッシュボードへ追加されました。
<Detections>
・チューニングルールのOffender及びVictimで「External Scanning Service」が選択できるようになりました。これにより、外部スキャンサービスとして識別されたデバイスを検知除外できるようになりました。
・Detectionsページに同じ検知タイプに関して集約した情報を表示するSummaryビューが追加されました。同じ検知タイプを複数検知した場合、以下の情報を表示します。
- 攻撃端末の数、攻撃端末一覧の表示
- 被害端末の数、被害端末一覧の表示
- Network Localityの数、Network Locality一覧の表示
- その他関連する情報 (検知タイプによって表示される情報は異なります。)
- 被害端末の数、被害端末一覧の表示
- Network Localityの数、Network Locality一覧の表示
- その他関連する情報 (検知タイプによって表示される情報は異なります。)
・Summaryビューから同じ検知タイプの複数検知を一括でステータス変更できるようになりました。
・至急の対応を推奨する検知結果を表示するTriageビューが追加されました。以下の理由及びリスクスコアによって対応の優先度の高い順に検知結果を表示します。
- Involves a high value asset:検知結果に認証又は重要なサービスを提供する端末、手動でHigh-Valueとして登録した端末が含まれています。
- Involves a top offender:検知した攻撃端末は多数の検知及び多数の検知タイプに関与しています。
- Involves a rare detection type:お客様の環境内で最近発生した履歴の無い検知であることを示しています。珍しい検知タイプは、一意の悪意ある動作を示す可能性があります。
- Involves a top offender:検知した攻撃端末は多数の検知及び多数の検知タイプに関与しています。
- Involves a rare detection type:お客様の環境内で最近発生した履歴の無い検知であることを示しています。珍しい検知タイプは、一意の悪意ある動作を示す可能性があります。
・Security OverviewページのOpen Detectionsは、Recommended for Triageへ名称が変更され、至急の対応が推奨される検知 (黄色タグが表示されている検知) のみを表示するようになりました。
・Notification Rulesの通知基準として、"Recommended for Triage"をTrue又はFalseで選択することで、至急の対応が推奨される検知が発生した場合のみ通知する又はその他の検知が発生した場合のみ通知することができるようになりました。
◎Reveal(x) Enterpriseのみ
<ExtraHop System>
Reveal(x) Enterpriseコンソールからシステム通知ルールを作成する機能が追加されました。
以下のシステムイベントを通知することができます。
・Sensor connection warning or error
・Sensor firmware upgrade available
・License warning or error
◎共通
<Activity Maps>
アクティビティマップは以下の3つの形式でエクスポートできるようになりました。<EX-53468>
・PDF
・PNG
・SVG
■注意事項<Activity Maps>
アクティビティマップは以下の3つの形式でエクスポートできるようになりました。<EX-53468>
・PNG
・SVG
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.4.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.2以降へアップグレードしてください。
更新日:
2023年11月2日 新機能紹介資料を更新しました。
2023年10月30日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2023年8月24日
■不具合修正
◎共通
<Records>
レコードをExcel形式 (.xlsx) でエクスポートできるようになりました。<EX-54654>
■注意事項
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.3.3以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.1以降へアップグレードしてください。
更新日:
2023年10月30日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2023年7月26日
■不具合修正
◎共通
<Dashboards>
・ダッシュボードのアラートウィジェットを編集できるようになりました。今までは全てのアラートが表示されましたが、編集することで表示するソースをフィルターすることができます。<EX-54643>
・ダッシュボードレポートを送信する際にカスタム名を指定しても件名がレポート名で表示されてしまう問題が修正されました。<EX-54523>
■注意事項
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.3.2以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.1以降へアップグレードしてください。
更新日:
2023年10月30日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2023年6月14日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.3.0
◎共通
<Administration>
・Syslogサーバへ送信されているAudit Logのフォーマットおよびシステム時間を変更できるようになりました。
・デバイスに複数の名前が割り当てられた場合の優先順位を指定する機能が追加されました。
<Assets>
ユーザがExtraHopシステム内のエンドポイントに関する情報を検索できるようにする外部IPアドレスツールを指定する機能が追加されました。
※デフォルトでは、"ARIN Whois"および"Virus Total"が外部エンドポイント向けに登録されております。
<Dashboards>
管理者は全てのユーザに対してデフォルトのダッシュボードを構成できるようになりました。デフォルトのダッシュボードを構成すると、Dashboardsページへ移動した時に最初に表示することができます。
※デフォルトは、ビルトインダッシュボードのActive Directoryが表示されます。
※各ユーザは管理者が設定したデフォルトダッシュボードを個別に変更することができます。
<Detections>
・Tuning Rulesによって、非表示にした検出はデフォルトで21日後に自動で削除されるようになりました。
※新しく作成または編集したTuning Rulesに一致する既存の検出結果が非表示になった場合、48時間は削除されません。
・DetectionsページのStatusフィルターにHiddenが追加され、非表示の検出結果はHiddenフィルターによって再表示できるようになりました。
※デフォルトではOpenが選択されています。
・Detectionsページで非表示の検出を再表示した時に非表示になっているデバイス一覧情報を表示できるようになりました。
・Tuning Rulesの基準に"All Security Detections"および"All Performance Detections"を追加できるようになりました。
・Caution検出は、Attackカテゴリに分類されるようになり、Security Overviewチャート、DetectionsページのAll Attackカテゴリフィルターおよび検知通知ルールのAll Attackカテゴリ基準に含まれるようになりました。
<ExtraHop System>
管理者は、ユーザに対してNDR機能、NPM機能へのアクセスを制限できるようになりました。
<Metrics and Protocols>
・ランサムウェア攻撃でよく見られるファイル拡張子を持つNFSおよびSMB/CIFSに関するメトリックが追加されました。
・暗号化されていない基本認証またはパスワードを使用したHTTPトランザクションに関するメトリックが追加されました。
・セッションテーブルの容量と使用状況に関するメトリックが追加されました。
<Security>
Network Overviewページには、ネットワーク上の検出のマップと検出数ごとのTop Offendersのリストが表示されるようになりました。
◎Reveal(x) 360のみ
<Alerts>
クラウドコンソールから、Alertsの通知先メールアドレスを設定できるようになりました。
<Dashboards>
ダッシュボードレポートがReveal(x) 360で作成できるようになりました。本機能を利用することで指定したメールアドレスへダッシュボードを定期的に配送することができます。
<Detections>
セキュリティに関する検出をLogScaleへエクスポートすることが出来るようになりました。この統合により、一元化されたシステムで検出データを表示できるため、検出に関するコンテキストが強化され、脅威を確認する時間が短縮されます。
<Administration>
・Syslogサーバへ送信されているAudit Logのフォーマットおよびシステム時間を変更できるようになりました。
・デバイスに複数の名前が割り当てられた場合の優先順位を指定する機能が追加されました。
<Assets>
ユーザがExtraHopシステム内のエンドポイントに関する情報を検索できるようにする外部IPアドレスツールを指定する機能が追加されました。
※デフォルトでは、"ARIN Whois"および"Virus Total"が外部エンドポイント向けに登録されております。
<Dashboards>
管理者は全てのユーザに対してデフォルトのダッシュボードを構成できるようになりました。デフォルトのダッシュボードを構成すると、Dashboardsページへ移動した時に最初に表示することができます。
※デフォルトは、ビルトインダッシュボードのActive Directoryが表示されます。
※各ユーザは管理者が設定したデフォルトダッシュボードを個別に変更することができます。
<Detections>
・Tuning Rulesによって、非表示にした検出はデフォルトで21日後に自動で削除されるようになりました。
※新しく作成または編集したTuning Rulesに一致する既存の検出結果が非表示になった場合、48時間は削除されません。
・DetectionsページのStatusフィルターにHiddenが追加され、非表示の検出結果はHiddenフィルターによって再表示できるようになりました。
※デフォルトではOpenが選択されています。
・Detectionsページで非表示の検出を再表示した時に非表示になっているデバイス一覧情報を表示できるようになりました。
・Tuning Rulesの基準に"All Security Detections"および"All Performance Detections"を追加できるようになりました。
・Caution検出は、Attackカテゴリに分類されるようになり、Security Overviewチャート、DetectionsページのAll Attackカテゴリフィルターおよび検知通知ルールのAll Attackカテゴリ基準に含まれるようになりました。
<ExtraHop System>
管理者は、ユーザに対してNDR機能、NPM機能へのアクセスを制限できるようになりました。
<Metrics and Protocols>
・ランサムウェア攻撃でよく見られるファイル拡張子を持つNFSおよびSMB/CIFSに関するメトリックが追加されました。
・暗号化されていない基本認証またはパスワードを使用したHTTPトランザクションに関するメトリックが追加されました。
・セッションテーブルの容量と使用状況に関するメトリックが追加されました。
<Security>
Network Overviewページには、ネットワーク上の検出のマップと検出数ごとのTop Offendersのリストが表示されるようになりました。
◎Reveal(x) 360のみ
<Alerts>
クラウドコンソールから、Alertsの通知先メールアドレスを設定できるようになりました。
<Dashboards>
ダッシュボードレポートがReveal(x) 360で作成できるようになりました。本機能を利用することで指定したメールアドレスへダッシュボードを定期的に配送することができます。
<Detections>
セキュリティに関する検出をLogScaleへエクスポートすることが出来るようになりました。この統合により、一元化されたシステムで検出データを表示できるため、検出に関するコンテキストが強化され、脅威を確認する時間が短縮されます。
・全てのExtraHopシステムのOpenSSLを1.1.1から3.0にアップグレードしました。
・次の脆弱性に対処するためにPython3を更新しました。
・次の脆弱性に対処するためにdev-libs/libxml2を更新しました。
■注意事項・次の脆弱性に対処するためにPython3を更新しました。
- CVE-2015-20107
- CVE-2021-3654
- CVE-2021-28363
- CVE-2021-28861
- CVE-2021-29921
- CVE-2022-0391
- CVE-2022-37454
- CVE-2022-42919
- CVE-2022-45061
- CVE-2021-3654
- CVE-2021-28363
- CVE-2021-28861
- CVE-2021-29921
- CVE-2022-0391
- CVE-2022-37454
- CVE-2022-42919
- CVE-2022-45061
・次の脆弱性に対処するためにdev-libs/libxml2を更新しました。
- CVE-2023-28484
- CVE-2023-29469
- CVE-2023-29469
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.3.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.1以降へアップグレードしてください。
更新日:
2023年6月23日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2023年4月21日
■新機能
◎共通
<Forwarders>
複数のセンサーへ鍵を送信するためにセッションキーフォワーダーを設定できるようになりました。
複数指定するには、設定ファイルにセンサーのFQDNをカンマ区切りで指定します。
■不具合修正
◎共通
<Records>
RecordsページでCertificate Not BeforeとCertificate Not Afterフィルターで日付を指定することができない問題が解決されました。
■注意事項
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.2.1以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.0以降へアップグレードしてください。
更新日:
2023年6月23日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2023年3月23日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.2.0
◎共通
<Administration>
・アプライアンスのユーザ権限の1つであるUnlimited privilegesはSystem and access administrationへ名称が変更されました。
・VMware仮想アプライアンスを構築する時、仮想ハードウェアバージョン13でデプロイされるようになりました。
<Detections>
Detection CatalogページへCategory項目が追加されました。
<ExtraHop System>
Time IntervalsからWebUIのタイムゾーンを手動で設定できるようになりました。ユーザは以下のタイムゾーンから選択することができます。
<Security>
Perimeter OverviewページにUncommon Connectionsが追加されました。Uncommon Connectionsは、通常アクセスされないIPアドレスとの会話の数を提供します。
◎Reveal(x) 360のみ
<Administration>
新しいバージョンへアップグレードが可能なセンサーが登録されている場合に通知する「Sensor firmware warning or error」の名称が「Sensor firmware upgrade available」に変更されました。
<Security>
Cortex XSOARとの統合がサポートされました。
<Administration>
・アプライアンスのユーザ権限の1つであるUnlimited privilegesはSystem and access administrationへ名称が変更されました。
・VMware仮想アプライアンスを構築する時、仮想ハードウェアバージョン13でデプロイされるようになりました。
<Detections>
Detection CatalogページへCategory項目が追加されました。
<ExtraHop System>
Time IntervalsからWebUIのタイムゾーンを手動で設定できるようになりました。ユーザは以下のタイムゾーンから選択することができます。
- Browser Time
- System Time:デフォルトは、「UTC -08:00/-07:00 Pacific Time (US and Canada); Tijuana」となります。
※変更方法は、新機能紹介v9.2.0の資料をご参照ください。
- UTC
- Specify Time Zone:ユーザ側でタイムゾーンを指定できます。
- System Time:デフォルトは、「UTC -08:00/-07:00 Pacific Time (US and Canada); Tijuana」となります。
※変更方法は、新機能紹介v9.2.0の資料をご参照ください。
- UTC
- Specify Time Zone:ユーザ側でタイムゾーンを指定できます。
<Security>
Perimeter OverviewページにUncommon Connectionsが追加されました。Uncommon Connectionsは、通常アクセスされないIPアドレスとの会話の数を提供します。
◎Reveal(x) 360のみ
<Administration>
新しいバージョンへアップグレードが可能なセンサーが登録されている場合に通知する「Sensor firmware warning or error」の名称が「Sensor firmware upgrade available」に変更されました。
<Security>
Cortex XSOARとの統合がサポートされました。
◎共通
<Administration>
Syslogサーバへ送信されるAudit Logにname="Audit log"フィールドが含まれるようになりました。
<Detections>
Detection CatalogページでMITRE Techniqueでフィルターすると、MITRE Techniqueを含まない検知ルールも表示されてしまう問題が修正されました。
◎ECAのみ
<ExtraHop System>
Active Directoryダッシュボードのスケジュールレポートを作成しようとするとエラーが表示される問題が修正されました。
■注意事項<Administration>
Syslogサーバへ送信されるAudit Logにname="Audit log"フィールドが含まれるようになりました。
<Detections>
Detection CatalogページでMITRE Techniqueでフィルターすると、MITRE Techniqueを含まない検知ルールも表示されてしまう問題が修正されました。
◎ECAのみ
<ExtraHop System>
Active Directoryダッシュボードのスケジュールレポートを作成しようとするとエラーが表示される問題が修正されました。
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.2.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・互換性を確保するため、本OSのコンソール(Rx360/ECA)へ接続されたアプライアンスは9.0以降へアップグレードしてください。
更新日:
2023年4月11日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2023年1月25日
■不具合修正
◎共通
<Detections>
有効のTuning Ruleのみが削除できる問題が修正され、無効化しているTuning Ruleも削除できるようになりました。
<ExtraHop Sytem>
Limited Write権限のユーザは、編集権限を与えられた静的デバイスグループに対して、デバイスを追加/削除できるようになりました。
<Packets>
パケットスライスのみをダウンロードできる権限のユーザは、表示されるパケットサイズとダウンロードしたパケットサイズが一致するようになりました。
■注意事項
・本OSにアップグレードするには、事前に8.8.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.1.1以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・8.6より前のバージョンであるEDA、EXA、ETAは、9.1以降のバージョンであるコンソール (Rx360/ECA) に接続できません。
更新日:
2023年2月3日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2022年12月14日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.1.0
◎共通
<Administration>
・Limited Write権限のユーザ向けに編集権限を付与する機能が追加されました。本機能を有効化することでLimited Write権限のユーザはデバイスグループの作成ができるようになり、他のユーザが許可したデバイスグループのみに編集権限が付与されます。
編集権限の許可は、作成済みのデバイスグループのプロパティまたはデバイスグループの作成時に設定できます。
※デフォルトは無効となっており、Limited Write権限のユーザはデバイスグループの作成、編集はできません。
※Rx360ではSNMPはサポートされておりませんので、EDAで設定いただく必要がございます。
<Assets>
・BAS (Breach and Attack Simulation) ソフトウェアを起動しているデバイス向けに新しくAttack Simulatorロールが追加されました。
・デバイスグループをDynamicで作成する時にFilter Criteriaの指定が必須になりました。
<Dashboards>
ビルトインダッシュボードの表示するデータをより適切に表現するために以下の名称が変更されました。
<Detections>
・Tuning RuleでOffenderまたはVictimに対し、Network Localityを指定することができるようになりました。
・Hardening検知した複数の端末が同じ検知タイプの場合、以下ができるようになりました。
・Hardening検知した端末をワンクリックでTuning Ruleを作成できるようになりました。Tuning Ruleを作成することでセキュリティリスクを把握しつつ、検知を抑制することができます。
・Operationsカテゴリは、CautionとHardeningを含めなくなりました。また、Hardeningカテゴリはサマリとして複数の端末を表示するようになったため、フィルター内で検知数を表示しなくなりました。
<Metrics and Protocols>
・LDAPクライアントとLDAPサーバによって署名されたメッセージが交換された数に関する新しいメトリックが追加されました。
・一般的ではないIPアドレスへの接続数に関する新しいメトリックが追加されました。
・各フローの最小ポート番号でリストされた単一のTCPフローパケットの数をカウントするメトリックが追加されました。
・新しいデバイスグループの拡張メトリックが追加されました。これらのメトリックは、デバイスグループがシステムパフォーマンスに影響することを確認するのに役立てることができます。
<Packets>
・パケットスライスと呼ばれるパケットの最初の64バイトの検索とダウンロードのみをユーザへ許可する"Packet slices only"という権限が追加されました。
・単一のファイル内にセッションキーを含むpcapng形式でパケットキャプチャをダウンロードできるようになりました。
<Records>
以下のレコードフィルターが追加されました。
<Security>
Perimeter Overviewが改善され、境界トラフィックの概要がクラウドサービス、国、大規模なアップロード情報の右側に表示されるようになりました。これにより、外部接続を素早く識別し、デバイスのプロパティおよびレコードにドリルダウンできるようになりました。
◎Console (Rx360/ECA) のみ
<Administration>
接続しているセンサーで新しいファームウェアが利用可能な時にシステム通知が表示されるようになりました。表示方法は以下の2通りとなります。
◎Reveal(x) 360のみ
<Administration>
Notification Rules内のSystem Eventsの項目に新しく以下が追加されました。 (デフォルトは無効です。)
<Administration>
・Limited Write権限のユーザ向けに編集権限を付与する機能が追加されました。本機能を有効化することでLimited Write権限のユーザはデバイスグループの作成ができるようになり、他のユーザが許可したデバイスグループのみに編集権限が付与されます。
編集権限の許可は、作成済みのデバイスグループのプロパティまたはデバイスグループの作成時に設定できます。
※デフォルトは無効となっており、Limited Write権限のユーザはデバイスグループの作成、編集はできません。
■有効化方法
- Rx360
1. WebUIへログインします。
2. 右上の歯車アイコンをクリックし、[User Access]をクリックします。
3. Global Privilege Policy項目内の"Limited write users can create or edit device groups"のチェックボックスをチェックします。
4. [Save Changes]ボタンをクリックします。
- EDA/ECA
1. WebUIへログインします。
2. 右上の歯車アイコンをクリックし、[All Administration]をクリックします。
3. Access Settings項目内の[Global Policies]をクリックします。
4. Device Group Edit Control項目内の"Limited write users can create and edit device groups"のチェックボックスをチェックします。
5. [Save Settings]ボタンをクリックします。
・SNMPv3ポーリングがサポートされました。- Rx360
1. WebUIへログインします。
2. 右上の歯車アイコンをクリックし、[User Access]をクリックします。
3. Global Privilege Policy項目内の"Limited write users can create or edit device groups"のチェックボックスをチェックします。
4. [Save Changes]ボタンをクリックします。
- EDA/ECA
1. WebUIへログインします。
2. 右上の歯車アイコンをクリックし、[All Administration]をクリックします。
3. Access Settings項目内の[Global Policies]をクリックします。
4. Device Group Edit Control項目内の"Limited write users can create and edit device groups"のチェックボックスをチェックします。
5. [Save Settings]ボタンをクリックします。
※Rx360ではSNMPはサポートされておりませんので、EDAで設定いただく必要がございます。
■設定方法
1. WebUIへログインします。
2. 右上の歯車アイコンをクリックし、[All Administration]をクリックします。
3. Appliance Settings項目内の[Services]をクリックします。
4. SNMP Serviceの[Configure]をクリックします。
5. "SNMPv3 Enabled"のチェックボックスをチェックします。
6. 以下を入力または選択します。
8. SNMP ServiceがDisabledと表示されている場合は、チェックボックスをチェックし、[Save]ボタンをクリックします。
1. WebUIへログインします。
2. 右上の歯車アイコンをクリックし、[All Administration]をクリックします。
3. Appliance Settings項目内の[Services]をクリックします。
4. SNMP Serviceの[Configure]をクリックします。
5. "SNMPv3 Enabled"のチェックボックスをチェックします。
6. 以下を入力または選択します。
- SNMPv3 User Name:SNMPv3サービスにアクセスできるユーザ名
- Authentication and Privacy Mode:Authentication and PrivacyまたはAuthentication and No Privacyを選択
- Authentication Password:認証パスワード
- Authentication Algorithm:認証プロトコルとしてSHA-256またはSHA-1を選択
- Privacy Password:Authentication and Privacyを選択した場合、SNMPv3サービスを復号化するためのパスワードを入力
7. [Save Settings]ボタンをクリックします。- Authentication and Privacy Mode:Authentication and PrivacyまたはAuthentication and No Privacyを選択
- Authentication Password:認証パスワード
- Authentication Algorithm:認証プロトコルとしてSHA-256またはSHA-1を選択
- Privacy Password:Authentication and Privacyを選択した場合、SNMPv3サービスを復号化するためのパスワードを入力
8. SNMP ServiceがDisabledと表示されている場合は、チェックボックスをチェックし、[Save]ボタンをクリックします。
<Assets>
・BAS (Breach and Attack Simulation) ソフトウェアを起動しているデバイス向けに新しくAttack Simulatorロールが追加されました。
・デバイスグループをDynamicで作成する時にFilter Criteriaの指定が必須になりました。
<Dashboards>
ビルトインダッシュボードの表示するデータをより適切に表現するために以下の名称が変更されました。
- Network ⇒ Network Performance
- Activity ⇒ Network Activity
- Security ⇒ Security Hardening
- Activity ⇒ Network Activity
- Security ⇒ Security Hardening
<Detections>
・Tuning RuleでOffenderまたはVictimに対し、Network Localityを指定することができるようになりました。
・Hardening検知した複数の端末が同じ検知タイプの場合、以下ができるようになりました。
- 検知した端末を一覧で表示します。一覧で表示することによって該当のセキュリティリスクを抱えている端末を管理することができます。
- 端末をクリックするとフィルターへ追加することができるようになりました。
- 端末をクリックするとフィルターへ追加することができるようになりました。
・Hardening検知した端末をワンクリックでTuning Ruleを作成できるようになりました。Tuning Ruleを作成することでセキュリティリスクを把握しつつ、検知を抑制することができます。
・Operationsカテゴリは、CautionとHardeningを含めなくなりました。また、Hardeningカテゴリはサマリとして複数の端末を表示するようになったため、フィルター内で検知数を表示しなくなりました。
<Metrics and Protocols>
・LDAPクライアントとLDAPサーバによって署名されたメッセージが交換された数に関する新しいメトリックが追加されました。
- LDAP Server - Signed Messages
- LDAP Server - Signed Messages by Client
- LDAP Client - Signed Messages
- LDAP Client - Signed Messages by Server
- LDAP Server - Signed Messages by Client
- LDAP Client - Signed Messages
- LDAP Client - Signed Messages by Server
・一般的ではないIPアドレスへの接続数に関する新しいメトリックが追加されました。
- Network - Uncommon Connections
- Network - Uncommon Connections by Conversation
- Network - Uncommon Connections by Conversation
・各フローの最小ポート番号でリストされた単一のTCPフローパケットの数をカウントするメトリックが追加されました。
- TCP - TCP Unidirectional Flow Packets by Low Port
・新しいデバイスグループの拡張メトリックが追加されました。これらのメトリックは、デバイスグループがシステムパフォーマンスに影響することを確認するのに役立てることができます。
- System User Interface - Device Group Expansion Time
- System User Interface - Device Group Expansion Time by Group Name
- System User Interface - Device Group Expansion In Cache
- System User Interface - Device Group Expansion In Cache by Group Name
- System User Interface - Device Group Expansion Not In Cache
- System User Interface - Device Group Expansion Not In Cache by Group Name
- System User Interface - Device Group Expansion Cannot By Cached
- System User Interface - Device Group Expansion Cannot By Cached by Group Name
- System User Interface - Device Group Expansion Time by Group Name
- System User Interface - Device Group Expansion In Cache
- System User Interface - Device Group Expansion In Cache by Group Name
- System User Interface - Device Group Expansion Not In Cache
- System User Interface - Device Group Expansion Not In Cache by Group Name
- System User Interface - Device Group Expansion Cannot By Cached
- System User Interface - Device Group Expansion Cannot By Cached by Group Name
<Packets>
・パケットスライスと呼ばれるパケットの最初の64バイトの検索とダウンロードのみをユーザへ許可する"Packet slices only"という権限が追加されました。
・単一のファイル内にセッションキーを含むpcapng形式でパケットキャプチャをダウンロードできるようになりました。
<Records>
以下のレコードフィルターが追加されました。
- Uncommon Connection:一般的ではない接続
- External Client:外部クライアントとの接続
- External Server:外部サーバとの接続
- External Sender:外部送信者との接続
- External Receiver:外部受信者との接続
- External Client:外部クライアントとの接続
- External Server:外部サーバとの接続
- External Sender:外部送信者との接続
- External Receiver:外部受信者との接続
<Security>
Perimeter Overviewが改善され、境界トラフィックの概要がクラウドサービス、国、大規模なアップロード情報の右側に表示されるようになりました。これにより、外部接続を素早く識別し、デバイスのプロパティおよびレコードにドリルダウンできるようになりました。
◎Console (Rx360/ECA) のみ
<Administration>
接続しているセンサーで新しいファームウェアが利用可能な時にシステム通知が表示されるようになりました。表示方法は以下の2通りとなります。
- ファームウェアがアップグレード可能になったタイミングでの初回ログイン時
- System Settings内のSystem Noticesを選択
- System Settings内のSystem Noticesを選択
◎Reveal(x) 360のみ
<Administration>
Notification Rules内のSystem Eventsの項目に新しく以下が追加されました。 (デフォルトは無効です。)
Recordstore ingest warning:1日に取り込み可能なレコードの閾値を超えた場合に通知
※閾値は80%または100%で選択できます。両方の閾値で通知したい場合はそれぞれのNotification Ruleを作成してください。
※閾値は80%または100%で選択できます。両方の閾値で通知したい場合はそれぞれのNotification Ruleを作成してください。
◎共通
<Administration>
WebShellは非推奨となったため、将来のリリースで削除されます。現時点では機能自体は利用できますが、WebUIの[Launch Shell]の右に(Deprecated)という文字が表示されるようになりました。
■注意事項<Administration>
WebShellは非推奨となったため、将来のリリースで削除されます。現時点では機能自体は利用できますが、WebUIの[Launch Shell]の右に(Deprecated)という文字が表示されるようになりました。
・本OSにアップグレードするには、事前に8.5.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.1.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・8.6より前のバージョンであるEDA、EXA、ETAは、9.1以降のバージョンであるコンソール (Rx360/ECA) に接続できません。
更新日:
2023年1月19日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2022年10月20日
■新機能
◎共通
<Dashboards>
・切り捨てられたパケットの発生を表示するためのチャートである"Truncated Packets"がSystem Healthダッシュボードに追加されました。センサーは受信した全てのTruncated Packetsを破棄します。これにより非同期が発生する可能性を示します。
・インターフェースでドロップされたパケットの割合を表示するためのチャートである"Capture Drop Rate"がSystem Healthダッシュボードに追加されました。多くの場合、センサーの閾値を超えるとパケットドロップが発生します。
■注意事項
・本OSにアップグレードするには、事前に8.5.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.0.1以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・8.6より前のバージョンであるEDA、EXA、ETAは、9.0以降のバージョンであるコンソール (Rx360/ECA) に接続できません。
更新日:
2023年1月19日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2022年9月21日
新機能については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v9.0.0
◎共通
<Assets>
・Overview > Perimeterページで以下が変更されました。
・Network Localityに定義名を設定できるようになりました。設定した定義名はフィルターやTuning Ruleで指定できます。
<Dashboards>
Active Directoryメトリックに関するダッシュボードが追加されました。
<Detections>
・Tuning RulesページからTuning Ruleを作成できるようになりました。
・Tuning Rulesページから作成済みのTuning RuleのOffender、Victim、Descriptionを変更できるようになりました。
<Metrics and Protocols>
・SMB/CIFS関連のメトリックが追加されました。
・Trigger内で"Kerberos.isAccountPrivileged"がサポートされました。
・Active Directory関連のメトリックが追加されました。
・LDAP関連のメトリックが追加されました。
<Records>
特権Active Directoryアカウントによってレコードをフィルターする機能が追加されました。
◎Console (Rx360/ECA) のみ
<Dashboards>
System Usageダッシュボードが追加されました。
◎Reveal(x) 360のみ
<Alerts>
センサーの接続、サポートされていないファームウェアバージョン、ライセンスの問題に関するシステムイベントのNotification Ruleを作成する機能が追加されました。
<Detections>
Splunk SOARとの統合をサポートする機能が追加されました。
<Administration>
Reveal(x) 360へのアクセスを許可するIPv4アドレスとCIDRブロックのリストを追加できるようになりました。
<Assets>
・Overview > Perimeterページで以下が変更されました。
- 外部エンドポイントからの受信接続を受け入れたデバイスの数に関する名称が変更されました。
Internal Endpoints Accepting Inbound Connections → Device Accepting Inbound Connections
- 以下の項目が追加され、外部エンドポイントからの受信接続の数が表示されるようになりました。
Inbound Connections
・外部エンドポイントからの受信接続を受け入れたデバイスに関するビルトインデバイスグループが追加されました。Internal Endpoints Accepting Inbound Connections → Device Accepting Inbound Connections
- 以下の項目が追加され、外部エンドポイントからの受信接続の数が表示されるようになりました。
Inbound Connections
・Network Localityに定義名を設定できるようになりました。設定した定義名はフィルターやTuning Ruleで指定できます。
<Dashboards>
Active Directoryメトリックに関するダッシュボードが追加されました。
<Detections>
・Tuning RulesページからTuning Ruleを作成できるようになりました。
・Tuning Rulesページから作成済みのTuning RuleのOffender、Victim、Descriptionを変更できるようになりました。
<Metrics and Protocols>
・SMB/CIFS関連のメトリックが追加されました。
・Trigger内で"Kerberos.isAccountPrivileged"がサポートされました。
・Active Directory関連のメトリックが追加されました。
・LDAP関連のメトリックが追加されました。
<Records>
特権Active Directoryアカウントによってレコードをフィルターする機能が追加されました。
◎Console (Rx360/ECA) のみ
<Dashboards>
System Usageダッシュボードが追加されました。
◎Reveal(x) 360のみ
<Alerts>
センサーの接続、サポートされていないファームウェアバージョン、ライセンスの問題に関するシステムイベントのNotification Ruleを作成する機能が追加されました。
<Detections>
Splunk SOARとの統合をサポートする機能が追加されました。
<Administration>
Reveal(x) 360へのアクセスを許可するIPv4アドレスとCIDRブロックのリストを追加できるようになりました。
◎Console (Rx360/ECA) のみ
<Administration>
トンネル接続を利用してセンサーを接続した場合、センサーのIPアドレスを変更すると、コンソール上に変更後のIPアドレスが反映されるようになりました。
◎ECAのみ
<Consoles>
ECAで設定したNetwork Localityの内容がセンサーに正しく適用できるようになりました。
■注意事項<Administration>
トンネル接続を利用してセンサーを接続した場合、センサーのIPアドレスを変更すると、コンソール上に変更後のIPアドレスが反映されるようになりました。
◎ECAのみ
<Consoles>
ECAで設定したNetwork Localityの内容がセンサーに正しく適用できるようになりました。
・本OSにアップグレードするには、事前に8.5.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が9.0.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・8.6より前のバージョンであるEDA、EXA、ETAは、9.0以降のバージョンであるコンソール (Rx360/ECA) に接続できません。
更新日:
2022年10月18日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2022年7月8日
■不具合修正
◎共通
<Detections>
Hardeningでの検出内容をOverview > Securityページ内のTop Offendersチャートに反映しないように修正されました。
<ExtraHop System>
ユーザのテーマを変更した時、同じブラウザ上でしか反映されていませんでしたが、他のブラウザでログインしても正しく反映されるように修正されました。
■注意事項
・本OSにアップグレードするには、事前に8.5.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が8.9.1以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・8.6より前のバージョンであるEDA、EXA、ETAは、8.9以降のバージョンであるECA又はReveal(x) 360に接続できません。
更新日:
2022年10月18日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2022年6月15日
新機能や機能変更点については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v8.9.0
■共通
<Detections>
・DetectionsページのAttack、Operations、Anyフィルターは、Categoryフィルターに統合されました。
・Detectionsページの表示方法からSOURCESとALLが削除され、右上のソートアイコンに統合されました。
・Tuning Rulesの管理がDetectionsページから行えなくなりました。管理する場合は、システム設定から開く必要があります。
・セキュリティのベストプラクティスの違反を強調するためにHardeningカテゴリが追加されました。
・Tuning Rulesに登録した検出結果は、Related Detectionsにも表示されないようになりました。
・複数のデバイスで検出した場合、検出した個々のデバイスをTuning Rulesに登録できるようになりました。
・Tuning RulesのOffenderまたはVictimの登録にカンマ区切りでIPアドレスまたはCIDRを複数指定することができるようになりました。
・特定の検出結果をTuning Rulesに登録する時に検出プロパティを指定できるようになりました。
・非表示にした検出内容を表示した際に、登録しているTuning RulesのRule IDが表示されるようになりました。複数登録されている場合は、登録されているルールの数を表示します。
・Security Overviewページの"Open Detections"は、Operations含む全てのOpenの検出を表示するようになりました。
・Security Overviewページの"Attack Detections"は、"Detection Types"に名前が変更され、Operations含む全ての検出タイプ数を表示するようになりました。
・Security Overviewページの"Detections by Attack Category"内のActions項目に表示されるアクションは、検出されたアクションのみを表示するようになりました。
・Security OverviewページにHARDENING、CAUTION、PERFORMANCEの検出数を示す"Detections by Operations Category"が追加されました。
<ExtraHop System>
・製品用語は以下のように変更されました。
- Discover Appliance → Packet SensorまたはEDA
- Explore Appliance → RecordstoreまたはEXA
- Trace Appliance → PacketstoreまたはETA
- Command Appliance、Reveal(x) 360 → Console
- Explore Appliance → RecordstoreまたはEXA
- Trace Appliance → PacketstoreまたはETA
- Command Appliance、Reveal(x) 360 → Console
[Metrics and Protocols]
・Datagram Transport Layer Security (DTLS) クライアントおよびサーバ接続に関する以下のメトリックが追加されました。
- DTLS Server - Connections
- DTLS Server - Connections by Client
- DTLS Server - Connections by Server SNI
- DTLS Client - Connections
- DTLS Client - Connections by Server
- DTLS Client - Connections by SNI
- DTLS Server - Connections by Client
- DTLS Server - Connections by Server SNI
- DTLS Client - Connections
- DTLS Client - Connections by Server
- DTLS Client - Connections by SNI
・TCP7680を介したWindows Update Delivery Optimizationのプロトコル識別が追加されました。
・クライアントによって確立された、またはサーバによって拒否された初期データを含むSSL接続に関する以下のメトリックが追加されました。
- SSL Server - Early Data Rejected
- SSL Server - Early Data Rejected by Client
- SSL Client - Early Data
- SSL Client - Early Data by Server
- SSL Server - Early Data Rejected by Client
- SSL Client - Early Data
- SSL Client - Early Data by Server
・CIFS/SMBプロトコルページにバージョン情報が追加され、ドリルダウンで該当のバージョンを使用しているクライアントまたはサーバ一覧を表示することができるようになりました。
■EDAのみ
・GENEVEのカプセル化解除がサポートされました。
・VPN Gateway自動検出は初期デプロイ時に無効化されるようになりました。
・TLSプロトコルを介してKafkaサーバで認証するようにKafka ODSターゲットを構成できるようになりました。
■Reveal(x) 360のみ
・Rx360コンソール上からCrowdStrikeに対して該当デバイスの隔離指示を行うことができるようになりました。
■注意事項
・本OSにアップグレードするには、事前に8.5.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が8.9.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・8.6より前のバージョンであるEDA、EXA、ETAは、8.9以降のバージョンであるECA又はReveal(x) 360に接続できません。
更新日:
2022年6月24日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2022年5月25日
■共通
<Alerts>
Alerts設定ページのTrend Windowsで"Hour Rolling Average"を選択した場合に表示されるTrend Lookbackが"minutes" (値が1の場合は、"minute") と表示される問題が修正され、"hours" (値が1の場合は、"hour") と表示されるようになりました。
■EDAのみ
<ExtraHop System>
Running Configファイルを通してVPNゲートウェイの自動識別を無効化する"vpn_gateway_auto_classify_enabled"が追加されました。
■注意事項
・本OSにアップグレードするには、事前に8.5.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が8.8.3以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・8.1より前のバージョンであるEDA、EXA、ETAは、8.8以降のバージョンであるECA又はReveal(x) 360に接続できません。
更新日:
2022年6月24日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2022年4月25日
■共通
<Devices>
以下のソフトウェアを起動しているデバイスを識別、分類する機能を追加しました。
- PowerShell Empire C2エージェント
- Cobalt Strike C2エージェント
- OpenSMTPD
- Pulse Secure
- Apache Tomcat
- NGINX
- Apache Struts、JBossなどのJakarta (Java) servlet
- Cobalt Strike C2エージェント
- OpenSMTPD
- Pulse Secure
- Apache Tomcat
- NGINX
- Apache Struts、JBossなどのJakarta (Java) servlet
■注意事項
・本OSにアップグレードするには、事前に8.5.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が8.8.1以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・8.1より前のバージョンであるEDA、EXA、ETAは、8.8以降のバージョンであるECA又はReveal(x) 360に接続できません。
更新日:
2022年6月24日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2022年3月24日
新機能や機能変更点については、以下のファイルにも纏めておりますので、こちらもご参照ください。
新機能紹介 v8.8.0
■共通
<Analysis Priorities>
Advanced Analysis及びStandard Analysisの自動割り当てが有効の場合、以下のデバイスが優先されるよう修正されました。
- 特定の検出に関連付けられているデバイス
- 外部接続を受け入れた又は開始したデバイス
- 一般的な攻撃ツールを実行しているデバイス
- 外部接続を受け入れた又は開始したデバイス
- 一般的な攻撃ツールを実行しているデバイス
<Detections>
・Overviewページの「Top Detections」の名称が「Open Detections」へ変更されました。これに伴い、ステータスが「CLOSED」以外の攻撃検出のみが表示されるようになりました。
・Investigations内のタイムラインから直接、検出カードと検出デバイス情報を確認できるようになりました。
・Usersページにプロトコル列が追加され、関連付けられているプロトコルからユーザ、デバイスを検索できるようになりました。
・Devicesページより、Analysis Levelでのフィルターが追加されました。
・Devicesページのフィルター項目のActivityフィルターに外部接続を受け入れたデバイス、外部接続を開始したデバイスをフィルターする項目が追加されました。
・検出詳細ページのTrack Detectionパネルのリンクにカーソルを合わせた時、正しくハイライトされない問題が修正されました。
・Threat BriefingsのActive及びResotreは、Full read-only権限以上を持つユーザが実施可能となっていましたが、Full write権限以上のユーザのみに制限されました。
・Light又はContrastテーマのWebUIでは、検出詳細ページのTrack Detectionパネルの[No Status]は文字の色が白く表示され、読みにくい問題が修正され、Light又はContrastテーマを選択した場合、文字の色は黒で表示されるようになりました。
・LightテーマのWebUIでは、Detectionsページ右上の[Investigations]ボタンの文字の色が黒く表示され、読みにくい問題が修正され、Lightテーマを選択した場合、文字の色は白で表示されるようになりました。
・検出時に表示可能なOffender又はVictimのデバイス情報について、今まではカーソルを合わせることで表示されましたが、クリックすることで表示されるように変更されました。
・検出時に表示されたOffender又はVictimからデバイスの概要ページに遷移する時、表示される時間間隔は、検出した時間間隔と一致するようになりました。
<Metrics and Protocols>
Metric Catalogページ内のメトリックの説明欄は、長すぎる場合、スクロールが出来ず、全文読むことが出来ない問題は修正され、スクロールし、全文読むことが出来るようになりました。
■Rx360のみ
<Admin UI>
・センサーの接続方法が変更され、Sensorsページから登録できるようになりました。これに伴い、Connect Appliancesページは削除されました。
・センサーのアップグレードがRx360から実行できるようになりました。
<Appliance>
監査ログがWebUI又はAPIから表示できるようになりました。
<Detections>
Domain ControllerをRx360上で登録できるようになりました。
※該当センサーを8.8.0へアップグレードする必要があります。
※センサーごとに1つのDomain Controllerのみ登録が可能です。
■ECAのみ
<Admin UI>
ユーザ権限の"Admin UI Privileges"は廃止されました。
■注意事項
・本OSにアップグレードするには、事前に8.5.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が8.8.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・8.1より前のバージョンであるEDA、EXA、ETAは、8.8以降のバージョンであるECA又はReveal(x) 360に接続できません。
更新日:
2022年4月7日 Rx360の新機能 (Domain Controller) について追加
2022年4月1日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2022年2月18日
■共通
<Admin UI>
ネットワークオーバレイカプセル化解除設定にGeneric Routing Encapsulation (GRE) が追加されました。
<Metrics and Protocols>
以下のメトリックが追加されました。
- Network - Decapsulated GRE Frame Bytes
- Network - Decapsulated GRE Frames
- Network - Decapsulated GRE Frame Bytes by EtherType
- Network - Decapsulated GRE Frames by EtherType
- Network - Decapsulated GRE Frames
- Network - Decapsulated GRE Frame Bytes by EtherType
- Network - Decapsulated GRE Frames by EtherType
■注意事項
・本OSにアップグレードするには、事前に8.0.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が8.7.2以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・8.1より前のバージョンであるEDA、EXA、ETAは、8.7以降のバージョンであるECA又はReveal(x) 360に接続できません。
更新日:
2022年4月1日
対象機器:EDA、EXA、ETA、ECA、Rx360
ExtraHop社リリース日:2022年2月18日
■共通
<Metrics and Protocols>
以下のメトリックが追加されました。
- WSMAN Server - Requests Decrypted
- WSMAN Server - Responses Decrypted
- WSMAN Client - Responses Decrypted
- WSMAN Client - Requests Decrypted
- WSMAN Server - Responses Decrypted
- WSMAN Client - Responses Decrypted
- WSMAN Client - Requests Decrypted
■注意事項
・本OSにアップグレードするには、事前に8.0.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が8.7.1以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・8.1より前のバージョンであるEDA、EXA、ETAは、8.7以降のバージョンであるECA又はReveal(x) 360に接続できません。
更新日:
2022年4月1日
対象機器:EDA、EXA、ETA、ECA
ExtraHop社リリース日:2021年12月18日
■新機能
<Alerts>
・Restricted read-only privilegesのユーザがダッシュボード上のアラートを確認できるようになりました。
※"Alert Type"が"Detection"のアラートは表示できません。
<Detections>
・Threat Briefing詳細ページのステータスに"Latest Detection"が追加され、関連する検知が最後に発生した日時が確認できるようになりました。
・復号化による検知が発生した場合、検知詳細ページの上部に"DETECTED WITH DECRYPTION"と表示されるようになりました。
・Detection Formatsは、Detection Catalogに名称が変更されました。
・Detection Catalogでビルトイン検知の表示名、検知タイプID、MITREテクニック及び検知タイプの詳細を表示できるようになりました。
・Threat Briefing詳細ページから、該当の脅威情報をアーカイブ、リストアできるようになりました。アーカイブすると以下が表示されなくなります。リストアすることで再表示が可能です。
- Overviewページへの表示
- Overview及びThreat Briefings Overviewページへのリスクが見つかったかどうかの表示(No Risk Identified、Risk Identified等)
- Overview及びThreat Briefings Overviewページへのリスクが見つかったかどうかの表示(No Risk Identified、Risk Identified等)
<Devices>
・Device Propertiesから"Device Model"を手動で追加することができるようになりました。
※ECAで設定した場合、数分後にEDAへも反映されますが、EDAで設定してもECAへ反映されません。
<Open Data Streams>
・グローバルプロキシを使用して、ODSのHTTPターゲットを設定する機能が追加されました。
※"Connect through global proxy"をチェックしてもグローバルプロキシを設定していない場合は、直接接続します。
<Threat Intelligence>
・ECA及びReveal(x) 360で設定可能なNotification Rulesに新しくThreat Briefingに関する通知機能が追加されました。以下のイベントが発生した場合に通知されます。
- 新しいThreat Briefingの発行
- システムによる以前アーカイブしたThreat Briefingのリストア
- システムによる以前アーカイブしたThreat Briefingのリストア
・Threat BriefingsがOverviewページの左上に移動され、[View All Threat Briefings]をクリックすることでThreat Briefings全体のステータスを確認できるようになりました。
■修正された内容
<Devices>
・NTLMトラフィックが"Devices by Protocol Activity"に表示され、アクティビティやアクティビティマップの確認ができるようになりました。
<Records>
・レコードテープ内の全てのフィールド("Time"を除く)は、クリック可能になり、フィールド名と値を示すポップオーバーが開くようになりました。
・CSVへエクスポートされたレコード結果は、人間が読める時間形式で表示されるようになりました。
■注意事項
・本OSにアップグレードするには、事前に8.0.0以降のバージョンとなっている必要があります。
・EDA、ETAをアップグレードする前にReveal(x) 360が8.7.0以降のバージョンにアップグレードされていることを確認する必要があります。
・アップグレードは、ECA→EDA→EXA→ETAの順に実施してください。
・8.1より前のバージョンであるEDA、EXA、ETAは、8.7以降のバージョンであるECA又はReveal(x) 360に接続できません。
更新日:
2022年1月5日
