>

Splunk ES TA-Änderungsprotokoll

Änderungsprotokoll

Alle wichtigen Änderungen am Add-on Recorded Future Splunk ES werden in dieser Datei dokumentiert.

[4.0.0] - 2018-10-23

Neu

  • Adaptive Response wurde hinzugefügt.
    • Die adaptive Antwort kann zu jeder Korrelationssuche hinzugefügt werden, die unterstützte IOC-Typen (IP, Domäne, Hash und URL) liefert. Ein neues bemerkenswertes Ereignis wird erstellt, wenn das Ereignis angereichert werden kann.
    • Der Ad-hoc-Modus ist verfügbar (z. B. über das Incidents-Review-Panel), sobald ein Drilldown-Link verwendet wird, öffnet sich ein Panel mit den neuesten Informationen über das IOC.
  • URL-Risikoinformationen hinzugefügt.
  • Verbesserte Anzeige von Risikonachweisen im Incident-Review-Dashboard.
  • Die Unterstützung für eine benutzerdefinierte Risikoliste mit Recorded Future Fusion wurde hinzugefügt. Es können beliebig viele Risikolisten hinzugefügt werden.
  • Unterstützung für die Wiederholung von Warnungen aus Recorded Future wurde hinzugefügt.
  • Hilfeseiten sind in der App enthalten (einschließlich dieses Changelogs).
  • Neue Berichte:
    • Ein neuer Bericht "Neueste Aktualisierungen aller Risikolisten" wurde hinzugefügt.
    • Ein neuer Bericht, der alle Protokollereignisse aus der App anzeigt, wurde hinzugefügt.
    • Eine neue Validierungsfunktion wurde hinzugefügt. Diese Funktion kann verwendet werden, um zu überprüfen, ob die App funktioniert, oder um Informationen über potenzielle Probleme zu sammeln.
  • Neue Optionen zum Anpassen des Zugriffs auf die API von Recorded Future (nicht standardmäßige URL und optionale SSL-Verifizierung).
  • Synchronisierung des Suchkopf-Clusters:
    • Nur ein Clustermitglied ruft Risikolisten ab, bevor es sie an den Rest des Clusters verteilt.
    • Die Konfiguration wird synchronisiert, d. h. der API-Schlüssel kann zu jedem Knoten im Cluster hinzugefügt werden, er wird an alle Knoten weitergegeben.

Geändert

  • Die Dateinamen der Risikolisten im Suchordner haben sich geändert. Bsp.: rf_ip_threatfeed.csv ist rf_ip_risklist.csv geworden. Die Transformation, die für die Zuordnung zwischen dem Namen und dem Dateinamen verwendet wird, wurde angepasst, um die Abwärtskompatibilität zu gewährleisten.
  • Vollständiges Umschreiben der in der App enthaltenen Skripte.
    • Aktualisierungen der Risikolisten und die Wiederholung von Warnmeldungen wurden als modulare Eingaben implementiert, um die Zuverlässigkeit und Skalierbarkeit zu verbessern. Aktualisierungen werden durchgeführt, sobald neue Versionen der Risikolisten verfügbar sind.
    • Die Setup-GUI wurde erweitert und nutzt das Framework von Splunk.
  • Kleinere grafische Änderungen zur Anpassung an die in Splunk 7.1 eingeführten Änderungen an der Benutzeroberfläche von Splunk.

[3.2.3]

  • Es wurde eine Konfigurationszeilengruppe hinzugefügt, um den Verwaltungshost und den Port manuell zu überschreiben.

[3.2.2]

  • Die Konfigurationsdateien wurden angepasst, um den Zertifizierungsanforderungen zu entsprechen.
  • Die Art und Weise, wie SPLUNK_HOME erkannt wird, wenn die Umgebungsvariable nicht festgelegt ist, wurde verbessert.

[3.2.1]

  • Fehlerbehebung in verify_rf_app.py bei der Standardwerte in einem der Überprüfungsschritte nicht berücksichtigt wurden.
  • verify_rf_app.py geändert, um fehlende Ordner, die beim Ausführen des Skripts zur Wiederholung der Risikoliste erstellt werden, als Warnungen und nicht als Fehler zu kennzeichnen.

[3.2.0]

  • Python-Module wurden in das bin-Verzeichnis verschoben (Anforderung von Splunk).
  • Es wurde ein neues Skript (| script verifyRFApp) hinzugefügt, das eine Reihe von Tests in der System- und App-Umgebung durchführt, um Probleme zu beheben.

[3.1.4]

  • Fehlerbehebung: Der Workflow wurde so geändert, dass ein IOC aus der Codierung der URL gesucht wird.

[3.1.3] - 2017-10-10

  • Behandeln Sie den Fall, dass ein UniversalForwarder auf einem Standard-REST-Endpunkt ausgeführt wird und Splunk Enterprise auf einem nicht standardmäßigen Port ausgeführt wird.

[3.1.2] - 2017-10-03

  • Behandeln Sie, wenn Splunk sich weigert, mitzuteilen, welche Version von ES ausgeführt wird.

[3.1.1] - 2017-09-22

  • Aktualisierte Symbole.
  • Verbesserte Implementierung der CLI-Starterkennung.
  • Es wurde überprüft, ob es sich bei jedem in der GUI hinzugefügten Proxy um einen https-Proxy handelt.
  • Verschleiern Sie das Token im Formular Setup.

[3.1.0] - 2017-09-04

  • Stellen Sie sicher, dass die Aktualisierungsintervalle nicht verschoben werden.
  • Die Setup-GUI wurde verbessert.
  • Erkennung und Verhinderung des CLI-Starts hinzugefügt.
  • Instrumentierung von Splunk und Splunk ES-Version hinzugefügt.
  • Umbenennung der Standardzeilengruppe in logging (neue Splunk-Anforderung)
  • 0 und 1 in inputs.conf durch false und true ersetzt

[3.0.6] - 2017-08-16

  • Behandeln von Bytereihenfolgemarkierungen (BOMs) in web.conf.
  • Falscher Standard-Log-Level behoben (sollte INFO sein).

[3.0.5] - 2017-07-24

  • Erkennen und Verwenden einer nicht standardmäßigen Verwaltungsportkonfiguration.

[3.0.4] - 2017-07-18

  • Ändern Sie das Anwendungsprotokoll in $SPLUNK_HOME/var/log/TA-recorded_future/get-rf-threatlists.py
  • Eventgen-Beispiele und -Konfiguration wurden entfernt.
  • Protokollieren Sie die Version und das Betriebssystem beim Start.
  • Erstellen Sie ein Verzeichnis für Suchvorgänge, wenn es nicht vorhanden ist (kann bei Suchkopfclustern der Fall sein).
  • Aktualisierte Informationen zur Bereitstellung in Clustern.

[3.0.3] - 2017-07-11

  • Es wurde die Möglichkeit hinzugefügt, "| Skript updateRFThreatlists" in der Web-GUI. Dadurch werden einige Statistiken über die Risikolisten ausgedruckt und bei Bedarf aktualisiert.
  • Protokollierung an vielen Stellen hinzugefügt.
  • Fangen und protokollieren Sie an den meisten Orten vor dem Verlassen.
  • An den meisten Stellen wurden spezifische Exit-Codes hinzugefügt.
  • Testen Sie, ob die Datei passwords.conf vorhanden ist, wenn das Programm kein Token aktivieren kann.
  • Unittests für api_key.py hinzugefügt.
  • Aktualisierte Installationsanweisungen.

[3.0.2] - 2017-06-21

  • Gespeicherte Suchvorgänge wurden hinzugefügt, um das Threat Intelligence-Framework von veralteten Daten aus der aufgezeichneten Zukunft zu bereinigen.
  • Die Konfiguration des Intervalls wurde pro Risikoliste hinzugefügt, max_entries und aktiviert.
  • Das get-rf-threatlists.py Skript wird jetzt standardmäßig alle 5 Minuten ausgeführt. Bei jedem Durchlauf wird geprüft, ob für eine der aktivierten Risikolisten ein neuer Download erforderlich ist.
  • Das Algorithmusfeld wurde aus der generierten CSV-Datei für das Threat Intelligence-Framework entfernt, da es vom Framework nicht analysiert wurde.
  • Einige Änderungen, um die Unterstützung unter Windows zu ermöglichen.
  • Die Korrelationssuche nach domänenbasierten Ereignissen wurde geändert, um die Domäne ordnungsgemäß aus einer URL zu extrahieren.

[3.0.1] - 2017-06-01

  • Die grafische Benutzeroberfläche ist aktiviert, um den Zugriff auf Setup in einem Suchkopfcluster zu ermöglichen.

[3.0.0] - 2017-04-19

  • Nutzen Sie die neuen Recorded Future Python-API-Endpunkte und die entsprechende Python-Bibliothek.
  • Die Domänen- und Hash-Risikolisten wurden hinzugefügt.
  • Generiert separate minimierte CSV-Dateien für das Threat Intelligence-Framework.
  • threat_keys wurde umbenannt, um rf_ Präfix zu erhalten.
  • Die Größe der Nachschlagedateien wurde reduziert.
  • Blacklisting hinzugefügt, um die Größe des Wissenspakets zu minimieren.
  • Verbesserte Arbeitsabläufe, um robuster zu sein.
  • Es wurde Unterstützung hinzugefügt, um die maximale Anzahl von Einträgen in jeder Risikoliste zu begrenzen.
  • Unterstützung zum Aktivieren/Deaktivieren bestimmter Risikolisten wurde hinzugefügt.
  • Unterstützung zum Ändern des Loglevels wurde hinzugefügt. Verbesserte Protokollierung.
  • JavaScript wurde aus setup.xml entfernt.

[2.4.2] - 2017-02-19

  • Temporäre Problemumgehung für Probleme mit dem Splunk-Passwortspeicher.

[2.4.1] - 2017-02-15

  • Instrumentierung für die Fehlerbehebung bei der Interaktion mit dem Splunk-Passwortspeicher hinzugefügt.

[2.4.0]

  • Die RF-Korrelationssuche wurde aktualisiert, sodass sie sich von der ES-Korrelationssuche "Threat Activity Detected" abhebt.

[2.3.9] - 2016-12-31

  • Das Problem in config_file wurde behoben.

[2.3.8] - 2016-12-22

  • Nachdem der Schwellenwert so überarbeitet wurde, dass eine Zielanzahl von Einträgen angegeben wird, wählt das System dann einen Schwellenwert aus, der eine Anzahl von Einträgen in der Nähe dieser Zahl ergibt.

[2.3.7] - 2016-12-19

  • Es wurde ein Schwellenwert hinzugefügt, der nur Einträge mit einer Risikobewertung über einem bestimmten Niveau enthielt.

[2.3.6] - 2016-11-29

  • Ungenutzte Suchvorgänge wurden bereinigt.

[2.3.5] - 2016-11-22

  • Verschmelzen

[2.3.4] - 2016-11-17

  • Verbesserte Resilienz der temporären Dateiverarbeitung 2.0.5.

[2.3.3]

  • Fehler behoben - Eingabeskript trifft jede Minute auf API

[2.3.0] - 2016-10-31

  • Verschiedene Korrekturen, um die Kriterien für die Zertifizierung zu erfüllen.

[2.1.3]

  • Der nicht verwendete Import im Python-Setup-Skript wurde entfernt.
  • Verschiedene Dateiberechtigungen wurden aktualisiert, um den Splunk-Richtlinien zu entsprechen.
  • Dateinamenskonventionen und -pfade wurden aktualisiert, um den Splunk-Richtlinien zu entsprechen.
  • Der Speicherort der temporären Dateien wurde in das App-Verzeichnis geändert.
  • Es wurde eine Dokumentation zu Anforderungen und Clusterüberlegungen hinzugefügt.

[2.1.2]

  • Erzwingen der Suche bei der Korrelationssuche, dass sie auf dem Suchkopf und nicht auf Remotepeers ausgeführt wird

[2.1.1] - 2016-09-22

  • Es wurde ein Fehler behoben, bei dem temporäre Dateien zurückgelassen wurden.

[2.1.0] - 2016-09-16

  • Fehler behoben
  • get-rf-threatlist.py aktualisiert, um sicherzustellen, dass rfsetup.conf vorhanden ist, bevor versucht wird, das API-Token abzurufen
  • inputs.conf-Zeilengruppe entfernt, um get-rf-threatlist.py alle 30 Minuten auszuführen
  • Die Datei commands.conf wurde erstellt und eine gespeicherte Suche hinzugefügt, die alle 30 Minuten ausgeführt wird und get-rf-threatlist.py

[2.0.6] - 2016-09-06

  • Falsches Dropdown-Menü für Titel in der Incident-Ansicht entfernt.

[2.0.5] - 2016-09-02

  • Problem behoben, das den Splunk-Fehler "Ein Skript wurde abnormal beendet" verursachte.

[2.0.4] - 2016-08-26 Ess

  • Einige Probleme mit der Zeichenkodierung wurden behoben.
  • Verbesserte Fehlerbehandlung und Bereinigung nach einem Fehler.
  • Problem mit falscher Korrelationssuche in gespeicherten Suchen behoben.

[2.0.3] - 2016-08-24

  • Die Anzeige der Nachweisdetails wurde verbessert.
  • Risikobewertung, ausgelöste Regeln (früher Risikozeichenfolge) und Nachweisdetails werden in dieser Reihenfolge aufgelistet.

[2.0.2]

  • Der RF-Risiko-Score wird für den Gesamtschweregrad von Splunk ES berücksichtigt.

[2.0.0]

  • Von STIX-Feed zu CSV-Feed gewechselt
  • Felder für 'Risk Score', 'Risk String', 'Evidence String' hinzugefügt
  • Fehler behoben (Daten werden nach dem Deaktivieren der App nicht aus dem KV-Speicher entfernt)

2016-04-03

  • Erstveröffentlichung (Becherglas)