Splunk Enterprise Appの変更履歴

更新履歴

All notable changes to the Recorded Future Splunk add-on will be documented in this file.

[4.0.3] - 2018-11-09

バグ修正

  • Splunkサーバーに同梱されているpython-requestsとの互換性の問題。
  • 内部の REST 呼び出しがクラスターで断続的に失敗しました。
  • 脆弱性エンリッチメントダッシュボードからのアドバイザリへのリンクが壊れていました。
  • 一部の場所での諜報カードの命名を修正しました。
  • 一部の場所でのロゴタイプの不適切なサイズを修正しました。
  • 必要に応じてSSL検証を無効にする設定を追加しました。
  • 検証レポートでのヘッド クラスターの検索チェック。
  • Windowsでの設定ファイルの読み取りに関する問題

改善

  • サンプル データは、マルウェアとしてフラグが立てられないようにフィルター処理されています。
  • Improved validation report which detects missing configuration on search head clusters.
  • SSL 検証を無効にする設定オプションを追加 (一部の
    プロキシ構成)。

[4.0.2] - 2018-09-11

Bug fix

  • ライセンスなしで実行しているSplunkサーバーで検索ヘッドの検出に失敗しました。
  • ASN情報カードへのリンクが間違っています。

改善

  • ダッシュボードの XML を新しい SimpleXML 仕様に更新しました。
  • Splunk 7.1の新しいビジュアルに合わせて色設定を更新しました。
  • ダッシュボードのルックアンドフィールのマイナーな改善。
  • デフォルトのSOCビューを[アラート]ビューに変更しました。

[4.0.1] - 2018-06-27

改善

  • Added a placeholder for the getting_started dashboard to redirect old installations with customized navigation to the new start page.
  • ドキュメントの改善。

削除

  • Removed server.conf since Splunk prohibits it. Search head installs will have to manually add it.

[4.0.0] - 2018-06-01

新機能

  • 新しいエンリッチメント ダッシュボード
    • URL (英語)
    • マルウェア
  • 新しい相関ダッシュボード:
    • URL (英語)
  • A new Explorer dashboard has been added. Using drop-down menus it's possible to explore different sourcetypes, risklists and fields to find the best way to correlate event data.
  • 新しいグローバルマップダッシュボードが追加されました。
  • A new Alerts dashboard was added. It displays summary information about alerts pulled from Recorded Future using the alerts modular input.
  • Support for Custom risklist using Recorded Future Fusion was added. Any number of risklists can be added.
  • 新しいマクロ:
    • rf_correlate - extends the functionality of previously available rf_hits with support for multiple risklists. This macro does however not unpack and format the evidence string. The new macro format_evidence can be used for this.
    • format_evidence - unpacks and reformats the evidence details for a matching entity.
    • to_date - データから日付を抽出し、フォーマットします。
    • to_time - データから日付と時刻を抽出し、フォーマットします。
    • to_splunk_time - 日付と時刻を抽出しますが、書式設定は実行しません。
    • unpack_metrics - エンリッチメントで使用されるメトリック フィールドをアンパックします。
    • unpack_relatedEntities - エンリッチメントで使用される関連エンティティを解凍します。
    • unpack_riskyCIDRIPs - unpacks the information about risky IPs in the CIDR used by IP enrichment.
  • Recorded Future からのアラートの取得のサポートが追加されました。
  • ヘルプページはアプリに含まれています(この変更ログを含む)。
  • 新しいレポート:
    • 新しいレポート「すべてのリスクリストの最新更新」が追加されました。
    • アプリからのすべてのログイベントを表示する新しいレポートが追加されました。
    • A new validation feature has been added. This feature can be used to verify that the app can work or to gather information about potential issues.
  • 検索ヘッド クラスターの同期:
    • Only one cluster member retrieves risklists before distributing them to the rest of the cluster.
    • Configuration is synchronized, ex the API key can be added to any node in the cluster, it will be propagated to all nodes.

変更

  • 相関ダッシュボードが改善されました。
    • The Triggered Rules and Evidence strings that were previously shown in two different fields have now been combined into one, making it much easier to match Risk Rule with the corresponding Evidence String. For each event the Evidence is listed in descending criticality. A colored dot also provides information about how critical the evidence is.
    • An addtional column has been added to the table of events found in the correlation search: the count of occurences of the entity (ex IP).
    • 次の 2 つのペインが追加されました。
      • 過去 24 時間の上位のリスク ルール。
      • The top entity (ex IP) which matches the risk list during the last 24 hours.
  • エンリッチメントダッシュボードが改善されました。
    • To help focus on the most relevant information the respective dashboard mimics the corresponding information card from Recorded Future.
    • The "Current Risk Indicators" panel has been renamed to "Triggered Risk Rules". The content is sorted by descending Criticality (which is shown and color coded).
    • When Recorded Future has information that the entity is present on a Treat list this information is shown in the "In Threat Lists" panel.
    • If Recorded Future's Insikt Group has produced research about the entity this is shown in the "Threat Research Insikt Group" panel.
    • The number of categories of related entities has been increased. Only panels with information are shown. The following categories have been added:
      • 関連アタッカー
      • 関連ターゲット
      • 関連アクター
      • 関連製品
      • 関連国
      • 関連技術
      • 関連するメールアドレス
      • 関連する攻撃ベクトル
      • 関連操作
    • Some dashboards have been made more efficient by removing additional API calls.
  • 記録された将来のサイバー脆弱性エンリッチメントが改善されました。
    • NVDからの情報は、「NVD Summary」パネルに表示されます。
    • Information about affected versions is shown in the "Affeced Versions" panel.
    • Information third party information is shown in the "Advisories, Assessments and Mitigations" panel.
  • The filenames of the risklists in the the lookups folder have changed. Ex: rf_ip_threatfeed.csv has become rf_ip_risklist.csv. The transform used to map between the name and the file name has been adapted to ensure backwards compatibility.
  • アプリに含まれるスクリプトを完全に書き直します。
    • Updates of the risklists and retreival of alerts have been implemented as modular inputs to improve reliability and scalability. Updates are performed as soon as new versions of the risklists become available.
    • エンリッチメントは、SplunkのRESTエンドポイントの拡張機能を使用して実行されます。
    • セットアップGUIが拡張され、Splunkのフレームワークが活用されるようになりました。

削除

  • The monitoring dashboards have been removed since this goal is better achieved using alerts within Recorded Future's service.

 

 

## [3.0.5] - 2017-08-15

### 変更

- IP/ドメインのリスクリストを1時間に1回ダウンロード

 

## [3.0.4] - 2017-05-26

### 変更

- リスクリストが最初に /tmp にダウンロードされない

- ダウンロードする単一の risklist.py スクリップ

- リスクリストをダウンロードするコマンド(Splunkマクロ)

- デモ データのサイズを縮小

- エンリッチメントダッシュボードのレイアウト

- エンリッチメントダッシュボードのデフォルト値

 

### 削除

- Conifgダッシュボード

 

## [3.0.3] - 2017-05-02

### 変更

## 認定の問題に対処

   - セッションキーのエラーキーログを削除

   - APIトークンエントリのドキュメントを更新し、より明示的にしました

 

## [3.0.2] - 2017-04-25

### 変更

## 認定の問題に対処

   - ユーザープロキシ入力の検証

 

## [3.0.1] - 2017-04-17

### 変更

## 認定の問題に対処

   - setup.xmlからJavascriptを削除しました

- サンプルログファイルのフォルダ名を変更しました



## [3.0.0] - 2017-03-17

### 変更

## 認定に関する主な問題に対処

   - APIトークンは暗号化されています

   - リスクリストは、最初にtmpにダウンロードされ、次にルックアップにダウンロードされ、ルックアップにビンされません

- 「はじめに」が更新され、新しい追加機能が反映されました

- インストールガイドが更新され、変更が反映されました

- プロキシはUIから追加できます

- リスクリストのダウンロードのデフォルト頻度(IP/ドメイン4時間、脆弱性/ハッシュ1日)

- エンリッチメントダッシュボードのレイアウトを更新しました

- [脅威のランドスケープ] が [監視] に変更される

- .pyの命名規則を変更しました 複数のエンティティ型に適合するファイル

- 引数を取るようにダウンロードコマンドを更新しました

- 保存されたパスワード(暗号化されたAPIトークン)にアクセスする権限をユーザーに付与しました

- 新しい API を利用するためにリファクタリングされました

- urllib2 の代わりに Requests を使う

- 新しいロゴに更新されました

- IP Correlate ダッシュボードが Wordpress のデモデータを参照しなくなりました

- バージョン番号をmajor.minor.bugfixに変更

- Recorded Futureのリンクが app.recordedfuture.com になりました

- スケジュールされたレポートは、正常に完了すると現在の日付を返します

- 相関ダッシュボードのログファイルの例を追加しました

 

### 追加

- 脆弱性のエンリッチメントダッシュボード

- 脆弱性、ドメイン、ハッシュのダッシュボードを関連付ける

- リスクルールでリスクリストをフィルタリングするためのダッシュボードの構成

- サンプルのリスクリストと相関データのパッケージ化

 

### 削除

- Current Threat Trends ダッシュボード

- 非推奨のコードを削除しました

- 未使用のマクロとコマンドを削除しました

 

## [2.12.13] - 2016-12-13

### 変更

- binフォルダの読み取り/書き込み/実行権限の変更

 

### 追加

- キーの暗号化のためのPythonモジュールを含む「lib」フォルダの追加

 

### 削除

- Recorded Future - Threatfeedのsavedsearches.confからの削除

 

### 追加

- ヒートマップの色分けが、次のダッシュボードのテーブルパネルに追加されました。

 

ログの相関関係

IP監視

ドメイン監視

現在の脅威の傾向

 

### 変更

- rf_threatfeed.csvルックアップを使用するようにダッシュボードを変更しました。

 

## [2.2.4] - 2016-02-04

### 変更

- IP エンリッチメント ダッシュボード API クエリで IpAddress data_group を使用する

- ドメインエンリッチメントダッシュボードの API クエリで InternetDomainName data_groupを使用する

- ハッシュ エンリッチメント ダッシュボード API クエリでハッシュ data_group を使用する

- 上記の 3 つの変更により、正確なリスク スコアが得られ、RF インテリジェンス カードと一致するようになりました。

- /bin/rf_observablequery.py エンリッチメントダッシュボードへの API クエリの変更を処理するように変更されました

- v3.0 rf_threatfeedルックアップおよび相関に使用されるようになりました

- リスクスコア指標がIPエンリッチメントダッシュボードに追加されました

- エンリッチメントダッシュボードの概要パネルでのメトリックのフォントサイズの変更

- 名称を「Add-on」から「App」に変更

 

### 追加

- IP監視ダッシュボードには、IPアドレスの入力フィールドが含まれています

- /appserver/static/rf_enrich_kpi.css サマリーパネルのデフォルトのフォントサイズを上書きします。

- ルックアップディレクトリに含まれるサンプルの脅威フィード

 

## [1.11.11] - 2015-11-1

### 変更

- 対処するダッシュボードに |localop を追加しました。 注: 分散環境によっては、「localop」キーワードだけでは不十分な場合があります。 前にパイプ (|) が必要です。

 

## [1.10.29] - 2015-10-29

### 変更

- IPエンリッチメントダッシュボードの検索文字列に「localop」キーワードを追加しました。

 

## [1.10.16] - 2015-10-16

### 変更

- インストール設定画面から「Threatfeed URL」要件を削除しました。

- Recorded Futureの脅威フィードをAPIトークンのみでダウンロードするようにコードが変更されました(セキュリティ強化のため)。

- Splunkアドオンのドキュメントが更新され、変更が反映されました。

- 以下のダッシュボードでドリルダウン機能を無効にし、Splunk検索にリダイレクトしました。

 

現在の脅威の傾向

IPエンリッチメント

ドメインエンリッチメント

ハッシュエンリッチメント

 

### 追加

- ヒートマップの色分けが、次のダッシュボードのテーブルパネルに追加されました。

 

ログの相関関係

IP監視

ドメイン監視

現在の脅威の傾向

 

## [1.10.09] - 2015-10-09

### 修正済み

- macros.conf ファイル内のrf_hitsマクロ構文を修正

 

## [1.08.17] - 2015-08-17

### 追加

- IPアドレスのリスクを評価するための脅威フィードルックアップrf_threatfeed.csv追加。

 

### 変更

- rf_threatfeed.csvルックアップを使用するようにダッシュボードを変更しました。