欢迎新ntopng 4.2:灵活警报、大提速、Scada、网络安全

我们很高兴地介绍ntopng 4.2,它在巩固4.0所带来的变化的同时,也引入了一些新的功能和突破。这个版本的主要目标包括:

  • 增强和简化向消费者发送警报的方式
  • ntopng的许多内部组件已被重写,以提高整体ntopng性能,减少系统负载,并能够处理更多数据,同时相对于4.0减少内存使用。
  • 通过利用最新的nDPI增强功能,通过利用最新的nDPI增强功能,可以创建多个用户脚本来监控现代系统的许多安全方面,从而大大增强了网络安全扩展功能。
  • 行为流量分析和横向流量运动检测,以发现流量噪声中的网络安全威胁。
  • 初步Scada支持与本地IEC 60870-5-104支持。
  • 整合Suricata和外部警报集成,以进一步开放ntopng与商业安全设备的集成。
  • SNMP支持在速度、SNMPv3协议支持和支持设备的多样性方面得到了加强。
  • 新增REST API,实现了ntopng与CheckMK等第三方应用的集成。

灵活的警报处理

将警报发送给感兴趣的收件人的方式已经完全重新设计。在4.2版本之前,所有生成的警报都会传递给所有的收件人,导致了以下问题:

  • 收件人被过多的警报淹没
  • 收件人收到他们不感兴趣的警报

由于这些原因,我们希望按照用户指南中的描述重新考虑和重新设计向收件人发送警报的方式。我们希望获得足够的灵活性来:

  • 通过引入灵活的警报传递,避免向收件人发送太多不必要的警报。
  • 根据以下情况有选择地将警报发送给收件人子集:
    • 基于严重性的准则(例如,仅将严重性错误或更高级别的警报发送给该特定收件人)
    • 基于类型的准则(例如,仅将与安全相关的警报发送给该特定收件人)

举个例子,现在你可以创建策略制定向收件人发送简报的方式,如:

  • 向SecOps管理的Elasticsearch实例发送与安全相关的警报
  • 通过电子邮件向NetOps发送与网络相关的警报。
  • 在DevOps的Discord通道上发送ntopng登录尝试和配置更改
  • 将具有严重性错误或更高严重性的警报一起发送到SecOps,NetOps和DevOps

请参阅此帖子以获取全面的讨论和其他示例。

可扩展的SNMP v2c / v3支持

新4.2版本还带有几乎完全重写的SNMP引擎。新引擎

  • 支持SNMP v2c和v3
  • 具有SNMP批量请求功能,大大提高了速度
  • 并行轮询多个设备以提高吞吐量

与4.0版中的SNMP引擎相比,这是一个很大的进步。

借助新引擎,当恶意主机连接到SNMP主机时,还可以实施SNMP攻击缓解措施,以将SNMP端口的管理状态切换为down。

其他新功能

在版本4.2附带的新功能中,值得一提的是:

  • 流量行为分析
    • 周期性流量
    • 横向运动
    • 带有自签名证书,issuerDN,subjectDN的TLS
  • 通过Modbus,DNP3和IEC60870支持工业IOT和Scada
  • 主动监控
    • 支持ICMP v4 / v6,HTTP,HTTPS和本机Speedtest,以测量可用带宽。
    • 当主机或服务无法到达或速度较慢时,能够生成警报。
  • 检测意外服务器。
  • DHCP,NTP,SMTP,DNS。
  • 服务地图。
  • 增强nIndex集成以最大化流转储性能并提供更好的流量钻取功能。
  • MacOS软件包

有关功能,更改和修复的全面列表,请查看CHANGELOG

因此,现在该您尝试4.2版了!