>

Splunk Enterprise Appの変更履歴

更新履歴

Recorded Future Splunkアドオンの主な変更点はすべて、このファイルに記載されています。

[4.0.3] - 2018-11-09

バグ修正

  • Splunkサーバーに同梱されているpython-requestsとの互換性の問題。
  • 内部の REST 呼び出しがクラスターで断続的に失敗しました。
  • 脆弱性エンリッチメントダッシュボードからのアドバイザリへのリンクが壊れていました。
  • 一部の場所での諜報カードの命名を修正しました。
  • 一部の場所でのロゴタイプの不適切なサイズを修正しました。
  • 必要に応じてSSL検証を無効にする設定を追加しました。
  • 検証レポートでのヘッド クラスターの検索チェック。
  • Windowsでの設定ファイルの読み取りに関する問題

改善

  • サンプル データは、マルウェアとしてフラグが立てられないようにフィルター処理されています。
  • 検索ヘッド クラスターで不足している構成を検出する検証レポートが改善されました。
  • SSL 検証を無効にする設定オプションを追加 (一部の
    プロキシ構成)。

[4.0.2] - 2018-09-11

バグ修正

  • ライセンスなしで実行しているSplunkサーバーで検索ヘッドの検出に失敗しました。
  • ASN情報カードへのリンクが間違っています。

改善

  • ダッシュボードの XML を新しい SimpleXML 仕様に更新しました。
  • Splunk 7.1の新しいビジュアルに合わせて色設定を更新しました。
  • ダッシュボードのルックアンドフィールのマイナーな改善。
  • デフォルトのSOCビューを[アラート]ビューに変更しました。

[4.0.1] - 2018-06-27

改善

  • getting_startedダッシュボードのプレースホルダーを追加し、カスタマイズされたナビゲーションで古いインストールを新しいスタートページにリダイレクトしました。
  • ドキュメントの改善。

削除

  • server.confはSplunkで禁止されているため、削除しました。 検索ヘッドのインストールでは、手動で追加する必要があります。

[4.0.0] - 2018-06-01

新機能

  • 新しいエンリッチメント ダッシュボード
    • URL (英語)
    • マルウェア
  • 新しい相関ダッシュボード:
    • URL (英語)
  • 新しいエクスプローラー ダッシュボードが追加されました。 ドロップダウンメニューを使用して、さまざまなソースタイプ、リスクリスト、フィールドを探索し、イベントデータを関連付ける最適な方法を見つけることができます。
  • 新しいグローバルマップダッシュボードが追加されました。
  • 新しいアラートダッシュボードが追加されました。 アラートのモジュラー入力を使用してRecorded Futureからプルされたアラートに関する概要情報が表示されます。
  • Recorded Future Fusion を使用したカスタム リスクリストのサポートが追加されました。 リスクリストはいくつでも追加できます。
  • 新しいマクロ:
    • rf_correlate - 複数のリスクリストをサポートすることで、以前に利用可能だったrf_hitsの機能を拡張します。 ただし、このマクロは証拠文字列のアンパックと書式設定を行いません。 これには、新しいマクロformat_evidenceを使用できます。
    • format_evidence - 一致するエンティティの証拠の詳細をアンパックして再フォーマットします。
    • to_date - データから日付を抽出し、フォーマットします。
    • to_time - データから日付と時刻を抽出し、フォーマットします。
    • to_splunk_time - 日付と時刻を抽出しますが、書式設定は実行しません。
    • unpack_metrics - エンリッチメントで使用されるメトリック フィールドをアンパックします。
    • unpack_relatedEntities - エンリッチメントで使用される関連エンティティを解凍します。
    • unpack_riskyCIDRIPs - IP エンリッチメントで使用される CIDR 内の危険な IP に関する情報をアンパックします。
  • Recorded Future からのアラートの取得のサポートが追加されました。
  • ヘルプページはアプリに含まれています(この変更ログを含む)。
  • 新しいレポート:
    • 新しいレポート「すべてのリスクリストの最新更新」が追加されました。
    • アプリからのすべてのログイベントを表示する新しいレポートが追加されました。
    • 新しい検証機能が追加されました。 この機能を使用して、アプリが動作することを確認したり、潜在的な問題に関する情報を収集したりできます。
  • 検索ヘッド クラスターの同期:
    • リスクリストを取得する前に、1 つのクラスター メンバーのみがリスク リストを取得してから、クラスターの残りの部分に配布します。
    • 構成が同期され、APIキーがクラスター内の任意のノードに追加できる場合、すべてのノードに伝播されます。

変更

  • 相関ダッシュボードが改善されました。
    • 以前は 2 つの異なるフィールドに表示されていた [Triggered Rules] と [Evidence] 文字列が 1 つに結合され、[Risk Rule] と対応する [Evidence String] を照合するのがはるかに簡単になりました。 各イベントについて、証拠は重要度の降順で一覧表示されます。 色付きのドットは、証拠がどの程度重要であるかに関する情報も提供します。
    • 相関検索で見つかったイベントの表に、エンティティ (IP など) の発生数という列が追加されました。
    • 次の 2 つのペインが追加されました。
      • 過去 24 時間の上位のリスク ルール。
      • 過去 24 時間のリスク リストに一致する最上位のエンティティ (IP など)。
  • エンリッチメントダッシュボードが改善されました。
    • 最も関連性の高い情報に集中できるように、それぞれのダッシュボードは、Recorded Futureの対応する情報カードを模倣しています。
    • 「現在のリスク指標」パネルの名前が「トリガーされたリスクルール」に変更されました。 コンテンツは、重要度の降順で並べ替えられます (重要度が色分けされて表示されます)。
    • Recorded Futureに、エンティティが治療リストに存在するという情報がある場合、この情報は「脅威リスト内」パネルに表示されます。
    • Recorded FutureのInsikt Groupがエンティティに関する調査を行った場合、これは「Threat Research Insikt Group」パネルに表示されます。
    • 関連エンティティのカテゴリの数が増えました。 情報を含むパネルのみが表示されます。 次のカテゴリが追加されました。
      • 関連アタッカー
      • 関連ターゲット
      • 関連アクター
      • 関連製品
      • 関連国
      • 関連技術
      • 関連するメールアドレス
      • 関連する攻撃ベクトル
      • 関連操作
    • 一部のダッシュボードは、追加の API 呼び出しを削除することで、より効率的になりました。
  • 記録された将来のサイバー脆弱性エンリッチメントが改善されました。
    • NVDからの情報は、「NVD Summary」パネルに表示されます。
    • 影響を受けるバージョンに関する情報は、「影響を受けるバージョン」パネルに表示されます。
    • 情報 サードパーティの情報は、「アドバイザリ、評価、緩和策」パネルに表示されます。
  • ルックアップフォルダ内のリスクリストのファイル名が変更されました。 例: rf_ip_threatfeed.csv has become rf_ip_risklist.csv. 名前とファイル名の間のマップに使用される変換は、下位互換性を確保するために調整されています。
  • アプリに含まれるスクリプトを完全に書き直します。
    • リスクリストの更新とアラートの取得は、信頼性とスケーラビリティを向上させるために、モジュール入力として実装されています。 更新は、リスクリストの新しいバージョンが利用可能になるとすぐに実行されます。
    • エンリッチメントは、SplunkのRESTエンドポイントの拡張機能を使用して実行されます。
    • セットアップGUIが拡張され、Splunkのフレームワークが活用されるようになりました。

削除

  • この目標は、Recorded Futureのサービス内のアラートを使用してより適切に達成されるため、監視ダッシュボードは削除されました。

 

 

## [3.0.5] - 2017-08-15

### 変更

- IP/ドメインのリスクリストを1時間に1回ダウンロード

 

## [3.0.4] - 2017-05-26

### 変更

- リスクリストが最初に /tmp にダウンロードされない

- ダウンロードする単一の risklist.py スクリップ

- リスクリストをダウンロードするコマンド(Splunkマクロ)

- デモ データのサイズを縮小

- エンリッチメントダッシュボードのレイアウト

- エンリッチメントダッシュボードのデフォルト値

 

### 削除

- Conifgダッシュボード

 

## [3.0.3] - 2017-05-02

### 変更

## 認定の問題に対処

   - セッションキーのエラーキーログを削除

   - APIトークンエントリのドキュメントを更新し、より明示的にしました

 

## [3.0.2] - 2017-04-25

### 変更

## 認定の問題に対処

   - ユーザープロキシ入力の検証

 

## [3.0.1] - 2017-04-17

### 変更

## 認定の問題に対処

   - setup.xmlからJavascriptを削除しました

- サンプルログファイルのフォルダ名を変更しました



## [3.0.0] - 2017-03-17

### 変更

## 認定に関する主な問題に対処

   - APIトークンは暗号化されています

   - リスクリストは、最初にtmpにダウンロードされ、次にルックアップにダウンロードされ、ルックアップにビンされません

- 「はじめに」が更新され、新しい追加機能が反映されました

- インストールガイドが更新され、変更が反映されました

- プロキシはUIから追加できます

- リスクリストのダウンロードのデフォルト頻度(IP/ドメイン4時間、脆弱性/ハッシュ1日)

- エンリッチメントダッシュボードのレイアウトを更新しました

- [脅威のランドスケープ] が [監視] に変更される

- .pyの命名規則を変更しました 複数のエンティティ型に適合するファイル

- 引数を取るようにダウンロードコマンドを更新しました

- 保存されたパスワード(暗号化されたAPIトークン)にアクセスする権限をユーザーに付与しました

- 新しい API を利用するためにリファクタリングされました

- urllib2 の代わりに Requests を使う

- 新しいロゴに更新されました

- IP Correlate ダッシュボードが Wordpress のデモデータを参照しなくなりました

- バージョン番号をmajor.minor.bugfixに変更

- Recorded Futureのリンクが app.recordedfuture.com になりました

- スケジュールされたレポートは、正常に完了すると現在の日付を返します

- 相関ダッシュボードのログファイルの例を追加しました

 

### 追加

- 脆弱性のエンリッチメントダッシュボード

- 脆弱性、ドメイン、ハッシュのダッシュボードを関連付ける

- リスクルールでリスクリストをフィルタリングするためのダッシュボードの構成

- サンプルのリスクリストと相関データのパッケージ化

 

### 削除

- Current Threat Trends ダッシュボード

- 非推奨のコードを削除しました

- 未使用のマクロとコマンドを削除しました

 

## [2.12.13] - 2016-12-13

### 変更

- binフォルダの読み取り/書き込み/実行権限の変更

 

### 追加

- キーの暗号化のためのPythonモジュールを含む「lib」フォルダの追加

 

### 削除

- Recorded Future - Threatfeedのsavedsearches.confからの削除

 

### 追加

- ヒートマップの色分けが、次のダッシュボードのテーブルパネルに追加されました。

 

ログの相関関係

IP監視

ドメイン監視

現在の脅威の傾向

 

### 変更

- rf_threatfeed.csvルックアップを使用するようにダッシュボードを変更しました。

 

## [2.2.4] - 2016-02-04

### 変更

- IP エンリッチメント ダッシュボード API クエリで IpAddress data_group を使用する

- ドメインエンリッチメントダッシュボードの API クエリで InternetDomainName data_groupを使用する

- ハッシュ エンリッチメント ダッシュボード API クエリでハッシュ data_group を使用する

- 上記の 3 つの変更により、正確なリスク スコアが得られ、RF インテリジェンス カードと一致するようになりました。

- /bin/rf_observablequery.py エンリッチメントダッシュボードへの API クエリの変更を処理するように変更されました

- v3.0 rf_threatfeedルックアップおよび相関に使用されるようになりました

- リスクスコア指標がIPエンリッチメントダッシュボードに追加されました

- エンリッチメントダッシュボードの概要パネルでのメトリックのフォントサイズの変更

- 名称を「Add-on」から「App」に変更

 

### 追加

- IP監視ダッシュボードには、IPアドレスの入力フィールドが含まれています

- /appserver/static/rf_enrich_kpi.css サマリーパネルのデフォルトのフォントサイズを上書きします。

- ルックアップディレクトリに含まれるサンプルの脅威フィード

 

## [1.11.11] - 2015-11-1

### 変更

- 対処するダッシュボードに |localop を追加しました。 注: 分散環境によっては、「localop」キーワードだけでは不十分な場合があります。 前にパイプ (|) が必要です。

 

## [1.10.29] - 2015-10-29

### 変更

- IPエンリッチメントダッシュボードの検索文字列に「localop」キーワードを追加しました。

 

## [1.10.16] - 2015-10-16

### 変更

- インストール設定画面から「Threatfeed URL」要件を削除しました。

- Recorded Futureの脅威フィードをAPIトークンのみでダウンロードするようにコードが変更されました(セキュリティ強化のため)。

- Splunkアドオンのドキュメントが更新され、変更が反映されました。

- 以下のダッシュボードでドリルダウン機能を無効にし、Splunk検索にリダイレクトしました。

 

現在の脅威の傾向

IPエンリッチメント

ドメインエンリッチメント

ハッシュエンリッチメント

 

### 追加

- ヒートマップの色分けが、次のダッシュボードのテーブルパネルに追加されました。

 

ログの相関関係

IP監視

ドメイン監視

現在の脅威の傾向

 

## [1.10.09] - 2015-10-09

### 修正済み

- macros.conf ファイル内のrf_hitsマクロ構文を修正

 

## [1.08.17] - 2015-08-17

### 追加

- IPアドレスのリスクを評価するための脅威フィードルックアップrf_threatfeed.csv追加。

 

### 変更

- rf_threatfeed.csvルックアップを使用するようにダッシュボードを変更しました。