>

Splunk ES TAの変更履歴

更新履歴

Recorded Future Splunk ES アドオンの主な変更点はすべて、このファイルに記載されています。

[4.0.0] - 2018-10-23

新機能

  • Adaptive Response が追加されました。
    • 適応応答は、サポートされている IOC タイプ(IP、ドメイン、ハッシュ、URL)を生成する任意の相関検索に追加できます。 イベントを充実させることができる場合は、新しい注目すべきイベントが作成されます。
    • アドホックモード(インシデントレビューパネルなど)が利用可能で、ドリルダウンリンクを使用すると、IOCに関する最新情報を含むパネルが開きます。
  • URL リスク情報を追加しました。
  • インシデントレビューダッシュボードでのリスク証拠の表示が改善されました。
  • Recorded Future Fusion を使用したカスタム リスクリストのサポートが追加されました。 リスクリストはいくつでも追加できます。
  • Recorded Future からのアラートの取得のサポートが追加されました。
  • ヘルプページはアプリに含まれています(この変更ログを含む)。
  • 新しいレポート:
    • 新しいレポート「すべてのリスクリストの最新更新」が追加されました。
    • アプリからのすべてのログイベントを表示する新しいレポートが追加されました。
    • 新しい検証機能が追加されました。 この機能を使用して、アプリが動作することを確認したり、潜在的な問題に関する情報を収集したりできます。
  • Recorded FutureのAPI(非標準URLとオプションのSSL検証)へのアクセスをカスタマイズするための新しいオプション。
  • 検索ヘッド クラスターの同期:
    • リスクリストを取得する前に、1 つのクラスター メンバーのみがリスク リストを取得してから、クラスターの残りの部分に配布します。
    • 構成が同期され、APIキーがクラスター内の任意のノードに追加できる場合、すべてのノードに伝播されます。

変更

  • ルックアップフォルダ内のリスクリストのファイル名が変更されました。 例: rf_ip_threatfeed.csv has become rf_ip_risklist.csv. 名前とファイル名の間のマップに使用される変換は、下位互換性を確保するために調整されています。
  • アプリに含まれるスクリプトを完全に書き直します。
    • リスクリストの更新とアラートの取得は、信頼性とスケーラビリティを向上させるために、モジュール入力として実装されています。 更新は、リスクリストの新しいバージョンが利用可能になるとすぐに実行されます。
    • セットアップGUIが拡張され、Splunkのフレームワークが活用されるようになりました。
  • Splunk 7.1で導入されたSplunkのGUIの変更に対応するためのグラフィックの軽微な変更。

[3.2.3]

  • 管理ホストとポートを手動でオーバーライドする構成スタンザを追加しました。

[3.2.2]

  • 認定要件に準拠するように構成ファイルを調整しました。
  • 環境変数が設定されていない場合のSPLUNK_HOMEの検出方法を改善しました。

[3.2.1]

  • 検証手順の 1 つで既定値が考慮されなかった verify_rf_app.py のバグ修正。
  • リスクリスト検索スクリプトの実行時に作成される欠落フォルダにエラーではなく警告としてフラグを立てるようにverify_rf_app.pyを変更しました。

[3.2.0]

  • pythonモジュールをbinディレクトリに移動しました(Splunkの要件)。
  • 問題のトラブルシューティングに役立つように、システムとアプリ環境で多数のテストを実行する新しいスクリプト (| script verifyRFApp) を追加しました。

[3.1.4]

  • バグ修正: URL のエンコードから IOC を検索するようにワークフローを変更しました。

[3.1.3] - 2017-10-10

  • UniversalForwarderが標準のRESTエンドポイントで実行されており、Splunk Enterpriseが標準以外のポートで実行されている場合の処理。

[3.1.2] - 2017-10-03

  • Splunkが実行中のESのバージョンを通知しない場合に処理します。

[3.1.1] - 2017-09-22

  • アイコンを更新しました。
  • CLI 起動検出の実装が改善されました。
  • gui で追加されたプロキシが https プロキシであるという検証を追加しました。
  • [設定] フォームでトークンを難読化します。

[3.1.0] - 2017-09-04

  • 更新間隔がずれないようにしました。
  • セットアップGUIを改善しました。
  • CLI 起動の検出と防止が追加されました。
  • SplunkとSplunk ESバージョンのインストルメンテーションを追加しました。
  • デフォルトスタンザの名前をloggingに変更しました(新しいSplunk要件)
  • inputs.conf の 0 と 1 を false と true に置き換えました。

[3.0.6] - 2017-08-16

  • web.conf でバイトオーダーマーク (BOM) を処理します。
  • 誤ったデフォルトのログレベルを修正しました(INFOである必要があります)。

[3.0.5] - 2017-07-24

  • デフォルト以外の管理ポート設定を検出して使用します。

[3.0.4] - 2017-07-18

  • アプリケーションログを$SPLUNK_HOME/var/log/TA-recorded_future/get-rf-threatlists.py に変更します。
  • Eventgen のサンプルと構成を削除しました。
  • 起動時にバージョンと OS をログに記録します。
  • 検索用のディレクトリが存在しない場合は作成します (検索ヘッド クラスターの場合も同様)。
  • クラスターでのデプロイに関する情報が更新されました。

[3.0.3] - 2017-07-11

  • "|script updateRFThreatlists」と入力します。 これにより、リスクリストに関するいくつかの統計が出力され、必要に応じて更新されます。
  • 多くの場所にログを追加しました。
  • ほとんどの場所で、終了する前にキャッチしてログに記録します。
  • ほとんどの場所に特定の終了コードを追加しました。
  • プログラムがトークンのオプトインに失敗した場合に、passwords.conf ファイルが存在するかどうかをテストします。
  • api_key.py の単体テストを追加しました。
  • インストール手順を更新しました。

[3.0.2] - 2017-06-21

  • 脅威インテリジェンス フレームワークから古い Recorded Future データを消去するための保存済み検索を追加しました。
  • リスクリストごとに、間隔、max_entries、有効の設定が追加されました。
  • get-rf-threatlists.py スクリプトは、デフォルトで 5 分ごとに実行されるようになりました。 各実行中に、有効なリスクリストのいずれかに対して新しいダウンロードが必要かどうかがチェックされます。
  • 脅威インテリジェンス フレームワーク用に生成された CSV からアルゴリズム フィールドが削除されました。
  • サポートを Windows 上で実行するためのいくつかの変更。
  • URL からドメインを適切に抽出するために、ドメインベースのイベントの相関検索が変更されました。

[3.0.1] - 2017-06-01

  • GUI が有効で、検索ヘッド クラスタのセットアップにアクセスできる。

[3.0.0] - 2017-04-19

  • 新しい Recorded Future Python API エンドポイントと対応する Python ライブラリを利用します。
  • ドメインとハッシュのリスクリストを追加しました。
  • 脅威インテリジェンス フレームワーク用に最小化された個別の CSV ファイルを生成します。
  • threat_keys に rf_ プレフィックスが付くように名前が変更されました。
  • ルックアップファイルのサイズを縮小しました。
  • ナレッジバンドルのサイズを最小化するためにブラックリストを追加しました。
  • ワークフローを改善して、より堅牢にしました。
  • 各リスクリストのエントリの最大数を制限するサポートが追加されました。
  • 特定のリスクリストを有効/無効にするサポートが追加されました。
  • ログレベルを変更するためのサポートが追加されました。 ログ記録の改善。
  • setup.xml から JavaScript を削除しました。

[2.4.2] - 2017-02-19

  • Splunkパスワードストアの問題に対する一時的な回避策。

[2.4.1] - 2017-02-15

  • Splunkパスワードストアとの相互作用をトラブルシューティングするためのインストルメンテーションを追加しました。

[2.4.0]

  • RF 相関検索を更新し、ES 相関検索「脅威アクティビティの検出」に便乗するようにしました。

[2.3.9] - 2016-12-31

  • config_fileの問題を修正しました。

[2.3.8] - 2016-12-22

  • ターゲットのエントリ数が指定されるようにしきい値を作り直し、システムはその数の近くにエントリの数を生成するしきい値を選択します。

[2.3.7] - 2016-12-19

  • リスクスコアが一定レベルを超えるエントリのみを含むしきい値を追加しました。

[2.3.6] - 2016-11-29

  • 未使用の検索をクリーンアップしました。

[2.3.5] - 2016-11-22

  • マージ

[2.3.4] - 2016-11-17

  • 一時 2.0.5 ファイル処理の回復性が向上しました。

[2.3.3]

  • バグ修正 - 入力スクリプトが毎分APIにヒットする

[2.3.0] - 2016-10-31

  • 認証の基準を満たすためのさまざまな修正。

[2.1.3]

  • Pythonセットアップスクリプトの未使用のインポートを削除しました。
  • Splunkのガイドラインに合わせてさまざまなファイル権限が更新されました。
  • ファイル名の規則とパスが Splunk のガイドラインと一致するように更新されました。
  • 一時ファイルの場所をアプリディレクトリ内に変更しました。
  • 要件とクラスターに関する考慮事項に関するドキュメントを追加しました。

[2.1.2]

  • 相関検索のルックアップを、リモートピアではなく検索ヘッドで強制的に実行します。

[2.1.1] - 2016-09-22

  • 一時ファイルが残る不具合を修正しました。

[2.1.0] - 2016-09-16

  • 修正されたバグ
  • APIトークンの取得を試みる前にrfsetup.confが存在することを確認するように get-rf-threatlist.py を更新しました
  • inputs.conf スタンザを削除して、30 分ごとに get-rf-threatlist.py するようにしました
  • commands.confファイルを作成し、30分ごとに実行される保存済み検索を追加しました get-rf-threatlist.py

[2.0.6] - 2016-09-06

  • インシデント ビューのタイトルの誤ったドロップダウン メニューを削除しました。

[2.0.5] - 2016-09-02

  • Splunkエラー「スクリプトが異常終了しました」の原因となる問題を修正しました

[2.0.4] - 2016-08-26 エス

  • 文字エンコーディングに関するいくつかの問題を修正しました。
  • エラー処理とエラー後のクリーンアップが改善されました。
  • 保存された検索で誤った相関検索を行う問題を修正しました。

[2.0.3] - 2016-08-24

  • 証拠の詳細の表示方法を改善しました。
  • リスク・スコア、トリガーされたルール(以前のリスク・ストリング)、および証拠の詳細がこの順序でリストされます。

[2.0.2]

  • RFリスクスコアは、Splunk ESの全体的な重大度で考慮されます。

[2.0.0]

  • STIXフィードからCSVフィードに変更
  • 「リスクスコア」、「リスク文字列」、「証拠文字列」のフィールドを追加
  • バグを修正しました(アプリを無効にした後、KVストアからデータが削除されません)

2016-04-03

  • 初期リリース (Beaker)