>

Splunk ES TA 변경 로그

변경 로그

기록된 향후 Splunk ES 애드온의 모든 주목할 만한 변경 사항은 이 파일에 문서화됩니다.

[4.0.0] - 2018-10-23

신규

  • 적응형 응답이 추가되었습니다.
    • 적응형 응답은 모든 상관관계 검색에 추가하여 지원되는 IOC 유형(IP, 도메인, 해시 및 URL)을 산출할 수 있습니다. 이벤트가 보강될 수 있는 경우 새로운 주목할 만한 이벤트가 생성됩니다.
    • 임시 모드를 사용할 수 있으며(예: 인시던트 검토 패널에서), 이 모드를 사용하면 드릴다운 링크를 클릭하면 IOC에 대한 최신 정보가 담긴 패널이 열립니다.
  • URL 위험 정보를 추가했습니다.
  • 인시던트 검토 대시보드의 위험 증거 표시가 개선되었습니다.
  • 기록된 미래 퓨전을 사용한 사용자 지정 위험 목록에 대한 지원이 추가되었습니다. 위험 목록은 얼마든지 추가할 수 있습니다.
  • 기록된 미래에서 알림을 다시 가져오는 기능이 추가되었습니다.
  • 앱에 도움말 페이지가 포함되어 있습니다(이 변경 로그 포함).
  • 새 보고서:
    • 새 보고서 "모든 위험 목록의 최신 업데이트" 가 추가되었습니다.
    • 앱의 모든 로그 이벤트를 표시하는 새로운 보고서가 추가되었습니다.
    • 새로운 유효성 검사 기능이 추가되었습니다. 이 기능은 앱이 작동하는지 확인하거나 잠재적인 문제에 대한 정보를 수집하는 데 사용할 수 있습니다.
  • Recorded Future의 API에 대한 액세스를 사용자 지정하는 새로운 옵션(비표준 URL 및 선택적 SSL 인증)이 추가되었습니다.
  • 검색 헤드 클러스터 동기화:
    • 클러스터 구성원 중 한 명만 위험 목록을 검색한 후 나머지 클러스터에 배포합니다.
    • 구성은 동기화되며, 예를 들어 API 키를 클러스터의 모든 노드에 추가하면 모든 노드에 전파됩니다.

변경됨

  • 조회 폴더에 있는 위험 목록의 파일 이름이 변경되었습니다. 예: rf_ip_threatfeed.csv가 rf_ip_risklist.csv로 변경되었습니다. 이름과 파일 이름 사이에 매핑하는 데 사용되는 변환은 이전 버전과의 호환성을 보장하기 위해 조정되었습니다.
  • 앱에 포함된 스크립트를 완전히 다시 작성합니다.
    • 위험 목록의 업데이트와 알림 재전송은 모듈식 입력으로 구현되어 안정성과 확장성을 개선했습니다. 위험 목록의 새 버전이 제공되는 즉시 업데이트가 수행됩니다.
    • 설정 GUI는 확장되었으며 Splunk의 프레임워크를 활용합니다.
  • Splunk 7.1에 도입된 Splunk의 GUI 변경 사항을 적용하기 위한 사소한 그래픽 변경 사항입니다.

[3.2.3]

  • 관리 호스트 및 포트를 수동으로 재정의하는 구성 구문을 추가했습니다.

[3.2.2]

  • 인증 요구 사항을 준수하도록 구성 파일을 조정했습니다.
  • 환경 변수가 설정되지 않은 경우 SPLUNK_HOME이 감지되는 방식을 개선했습니다.

[3.2.1]

  • 확인 단계 중 하나에서 기본값을 고려하지 못했던 verify_rf_app.py의 버그를 수정했습니다.
  • 위험 목록 복구 스크립트를 실행할 때 생성되는 누락된 폴더를 오류가 아닌 경고로 표시하도록 verify_rf_app.py를 수정했습니다.

[3.2.0]

  • 파이썬 모듈을 bin 디렉터리로 이동했습니다(Splunk의 요구 사항).
  • 시스템 및 앱 환경에서 여러 가지 테스트를 수행하여 문제를 해결하는 데 도움이 되는 새로운 스크립트(| 스크립트 verifyRFApp)가 추가되었습니다.

[3.1.4]

  • 버그 수정: URL 인코딩에서 IOC를 조회하도록 워크플로우를 변경했습니다.

[3.1.3] - 2017-10-10

  • 표준 REST 엔드포인트에서 실행 중인 유니버설포워더가 있고 스플렁크 엔터프라이즈가 비표준 포트에서 실행 중인 경우를 처리합니다.

[3.1.2] - 2017-10-03

  • Splunk가 실행 중인 ES 버전을 알려주지 않을 때 처리합니다.

[3.1.1] - 2017-09-22

  • 아이콘이 업데이트되었습니다.
  • CLI 실행 감지 구현이 개선되었습니다.
  • GUI에 추가된 프록시가 https 프록시인지 확인하는 기능을 추가했습니다.
  • 설정 양식에서 토큰을 난독화합니다.

[3.1.0] - 2017-09-04

  • 업데이트 간격이 느슨해지지 않도록 합니다.
  • 설정 GUI가 개선되었습니다.
  • CLI 실행 감지 및 방지 기능이 추가되었습니다.
  • Splunk 및 Splunk ES 버전에 대한 계측이 추가되었습니다.
  • 기본 스탠자의 이름을 로깅으로 변경(새로운 Splunk 요구 사항)
  • inputs.conf에서 0과 1을 거짓과 참으로 바꿨습니다.

[3.0.6] - 2017-08-16

  • web.conf에서 바이트 순서 표시(BOM)를 처리합니다.
  • 잘못된 기본 로그 수준을 수정했습니다(INFO여야 함).

[3.0.5] - 2017-07-24

  • 기본값이 아닌 관리 포트 구성을 감지하고 사용합니다.

[3.0.4] - 2017-07-18

  • 애플리케이션 로그를 $SPLUNK_HOME/var/log/TA-recorded_future/get-rf-threatlists.py로 변경합니다.
  • 이벤트젠 샘플 및 설정을 제거했습니다.
  • 시작할 때 로그 버전과 OS를 기록합니다.
  • 조회할 디렉터리가 없는 경우 디렉터리를 만듭니다(검색 헤드 클러스터에 있을 수 있음).
  • 클러스터 배포에 대한 정보가 업데이트되었습니다.

[3.0.3] - 2017-07-11

  • 웹 GUI에서 "| 스크립트 updateRFThreatlists" 를 실행할 수 있는 기능이 추가되었습니다. 그러면 위험 목록에 대한 몇 가지 통계가 인쇄되고 필요한 경우 업데이트됩니다.
  • 여러 곳에서 로깅을 추가했습니다.
  • 대부분의 장소에서 나가기 전에 잡아서 기록하세요.
  • 대부분의 장소에 특정 종료 코드를 추가했습니다.
  • 프로그램에서 토큰을 얻지 못한 경우 passwords.conf 파일이 존재하는지 테스트합니다.
  • api_key.py에 대한 유니트 테스트를 추가했습니다.
  • 업데이트된 설치 지침.

[3.0.2] - 2017-06-21

  • 저장된 검색을 추가하여 오래된 기록된 미래 데이터의 위협 인텔리전스 프레임워크를 제거합니다.
  • 간격, 최대 항목 및 활성화의 위험 목록 구성에 따라 추가되었습니다.
  • 이제 기본적으로 get-rf-threatlists.py 스크립트가 5분마다 실행됩니다. 실행할 때마다 활성화된 위험 목록에 대해 새 다운로드가 필요한지 여부를 확인합니다.
  • 위협 인텔리전스 프레임워크에 대해 생성된 CSV에서 알고리즘 필드를 제거했는데, 이는 프레임워크에서 구문 분석되지 않았기 때문입니다.
  • Windows에서 지원을 실행하기 위한 몇 가지 변경 사항이 있습니다.
  • URL에서 도메인을 올바르게 추출하기 위해 도메인 기반 이벤트에 대한 상관관계 검색을 수정했습니다.

[3.0.1] - 2017-06-01

  • 검색 헤드 클러스터에서 설정에 액세스할 수 있도록 GUI를 활성화합니다.

[3.0.0] - 2017-04-19

  • 새로운 레코딩된 미래 파이썬 API 엔드포인트와 해당 파이썬 라이브러리를 활용하세요.
  • 도메인 및 해시 위험 목록을 추가했습니다.
  • 위협 인텔리전스 프레임워크에 대해 별도의 최소화된 CSV 파일을 생성합니다.
  • 위협_키의 이름을 rf_ 접두사를 사용하도록 변경했습니다.
  • 조회 파일의 크기를 줄였습니다.
  • 지식 번들의 크기를 최소화하기 위해 블랙리스트가 추가되었습니다.
  • 워크플로우를 더욱 강력하게 개선했습니다.
  • 각 위험 목록의 최대 항목 수를 제한하는 기능이 추가되었습니다.
  • 특정 위험 목록을 활성화/비활성화할 수 있는 기능이 추가되었습니다.
  • 로글 레벨 변경 지원이 추가되었습니다. 로깅이 개선되었습니다.
  • setup.xml에서 JavaScript를 제거했습니다.

[2.4.2] - 2017-02-19

  • Splunk 비밀번호 저장소 관련 문제에 대한 임시 해결 방법.

[2.4.1] - 2017-02-15

  • Splunk 비밀번호 저장소와의 상호 작용 문제 해결을 위한 계측 기능이 추가되었습니다.

[2.4.0]

  • RF 상관관계 검색이 ES 상관관계 검색인 '위협 활동 감지됨'을 피기백하도록 업데이트했습니다.

[2.3.9] - 2016-12-31

  • config_파일의 문제를 수정했습니다.

[2.3.8] - 2016-12-22

  • 임계값을 재작업하여 목표 항목 수를 지정하면 시스템이 해당 수에 근접한 수의 항목을 생성하는 임계값을 선택합니다.

[2.3.7] - 2016-12-19

  • 특정 수준 이상의 위험 점수를 가진 항목만 포함하는 임계값을 추가했습니다.

[2.3.6] - 2016-11-29

  • 사용하지 않는 검색어를 정리했습니다.

[2.3.5] - 2016-11-22

  • 병합

[2.3.4] - 2016-11-17

  • 임시2.0.5 파일 처리의 복원력이 향상되었습니다.

[2.3.3]

  • 버그 수정 - 매분마다 입력 스크립트가 API에 충돌하는 문제 수정

[2.3.0] - 2016-10-31

  • 인증 기준을 충족하기 위한 다양한 수정 사항.

[2.1.3]

  • 파이썬 설정 스크립트에서 사용하지 않는 가져오기를 제거했습니다.
  • 다양한 파일 권한이 Splunk 가이드 라인과 일치하도록 업데이트되었습니다.
  • 파일 이름 규칙 및 경로가 Splunk 가이드 라인과 일치하도록 업데이트되었습니다.
  • 임시 파일의 위치를 앱 디렉토리 내로 변경했습니다.
  • 요구 사항 및 클러스터 고려 사항에 대한 문서가 추가되었습니다.

[2.1.2]

  • 상관관계 검색 시 원격 피어가 아닌 검색 헤드에서 강제로 조회를 실행합니다.

[2.1.1] - 2016-09-22

  • 임시 파일이 남는 버그가 수정되었습니다.

[2.1.0] - 2016-09-16

  • 버그 수정
  • API 토큰을 가져오기 전에 rfsetup.conf가 존재하는지 확인하도록 get-rf-threatlist.py를 업데이트했습니다.
  • 30분마다 get-rf-threatlist.py를 실행하도록 inputs.conf 구문을 제거했습니다.
  • commands.conf 파일을 생성하고 30분마다 실행되도록 저장된 검색을 추가하여 get-rf-threatlist.py를 실행합니다.

[2.0.6] - 2016-09-06

  • 인시던트 보기에서 제목에 대한 잘못된 드롭다운 메뉴를 제거했습니다.

[2.0.5] - 2016-09-02

  • Splunk 오류를 일으키는 문제 수정 "스크립트가 비정상적으로 종료되었습니다."

[2.0.4] - 2016-08-26 Ess

  • 문자 인코딩 관련 일부 문제를 수정했습니다.
  • 오류 처리 및 오류 후 정리가 개선되었습니다.
  • 저장된 검색에서 잘못된 상관관계 검색이 발생하는 문제를 수정했습니다.

[2.0.3] - 2016-08-24

  • 증거 세부 정보가 표시되는 방식이 개선되었습니다.
  • 위험 점수, 트리거된 규칙(이전의 위험 문자열), 증거 세부 정보가 순서대로 나열됩니다.

[2.0.2]

  • RF 위험 점수는 Splunk ES 전체 심각도에서 고려됩니다.

[2.0.0]

  • STIX 피드에서 CSV 피드로 변경됨
  • '위험 점수', '위험 문자열', '증거 문자열'에 대한 필드 추가
  • 버그 수정(앱 비활성화 후 KV 스토어에서 데이터가 제거되지 않음)

2016-04-03

  • 초기 릴리스(비커)