JSA
JSA 7.5.0 系列产品对运营效率和流程改进进行了以下增强。
提高运营效率
-
更安全的操作系统 – JSA 7.5.0 在 Red Hat Enterprise Linux 7.9 版上运行。要继续从红帽企业 Linux 接收安全更新,必须升级到 RHEL V7.9。
-
OFFENSE_TIME函数––在JSA 7.5.0中,使用新的OFFENSE_TIME函数来提高进攻查询的速度。
OFFENSE_TIME 函数将查询限制为攻击可能处于活动状态的适用时间。
例如,如果要查询某个时间范围内的冒犯,请将 OFFENSE_TIME 函数与 IN_OFFENSE 函数一起使用,将查询限制为可能发生冒犯的时间。
SELECT * FROM events WHERE INOFFENSE(1) times OFFENSE_TIME(1)
有关 AQL 数据检索函数的更多信息,请参阅 瞻博网络安全分析 Ariel 查询语言 (AQL) 指南。
-
DISTINCTCOUNT 函数 – 在 JSA 7.5.0 中,使用新的 DISTINCTCOUNT 函数返回聚合中值的唯一计数。
DISTINCTCOUNT 函数使用 HyperLogLog+ 近似算法来计算唯一计数,并在恒定内存要求下运行。该函数支持无限的数据集。
例如,
SELECT username, DISTINCTCOUNTCOUNT(sourceip) AS CountSrcIP FROM events GROUP BY username
有关 AQL 数据聚合函数的更多信息,请参阅 瞻博网络安全分析 Ariel 查询语言 (AQL) 指南。
-
默认启用托管主机加密 – 为了在环境中的每台设备之间提供安全的数据传输,JSA 集成了使用 OpenSSH 的加密支持。在 JSA 7.5.0 中,添加受管主机时,缺省情况下会启用受管主机之间的加密。以前,添加受管主机时需要手动启用加密。
有关托管主机加密的更多信息,请参阅《 瞻博网络安全分析管理指南》。