>

Änderungsprotokoll der Splunk Enterprise-App

Änderungsprotokoll

Alle wichtigen Änderungen am Splunk-Add-on "Recorded Future" werden in dieser Datei dokumentiert.

[4.0.3] - 2018-11-09

Fehlerbehebung

  • Kompatibilitätsproblem mit Python-Anfragen, die mit dem Splunk-Server ausgeliefert werden.
  • Interne REST-Aufrufe sind in Clustern zeitweise fehlgeschlagen.
  • Links zu Advisories aus dem Dashboard "Anreicherung von Sicherheitslücken" wurden unterbrochen.
  • Die Benennung der Geheimdienstkarte an einigen Stellen wurde korrigiert.
  • Die falsche Größe von Logos an einigen Stellen wurde behoben.
  • Es wurde eine Einstellung hinzugefügt, um die SSL-Verifizierung bei Bedarf zu deaktivieren.
  • Suchkopf-Cluster-Überprüfungen im Validierungsbericht.
  • Probleme beim Lesen von Konfigurationsdateien unter Windows

Verbesserungen

  • Die Beispieldaten wurden gefiltert, um zu vermeiden, dass sie als Schadsoftware gekennzeichnet werden.
  • Verbesserter Validierungsbericht, der fehlende Konfigurationen auf Suchkopfclustern erkennt.
  • Konfigurationsoption hinzugefügt, um die SSL-Verifizierung zu deaktivieren (wird bei einigen
    Proxy-Konfigurationen).

[4.0.2] - 2018-09-11

Fehlerbehebung

  • Die Erkennung des Suchkopfs ist auf einem Splunk-Server, der ohne Lizenzen ausgeführt wird, fehlgeschlagen.
  • Der Link zu ASN-Informationskarten war falsch.

Verbesserungen

  • XML im Dashboard wurde auf die neue SimpleXML-Spezifikation aktualisiert.
  • Die Farbeinstellungen wurden aktualisiert, um sie an die neue Grafik in Splunk 7.1 anzupassen.
  • Kleinere Verbesserungen des Erscheinungsbilds von Dashboards.
  • Die standardmäßige SOC-Ansicht wurde in die Ansicht "Warnungen" geändert.

[4.0.1] - 2018-06-27

Verbessert

  • Es wurde ein Platzhalter für das getting_started Dashboard hinzugefügt, um alte Installationen mit angepasster Navigation auf die neue Startseite umzuleiten.
  • Verbesserungen der Dokumentation.

Entfernt

  • server.conf wurde entfernt, da Splunk dies verbietet. Suchkopfinstallationen müssen ihn manuell hinzufügen.

[4.0.0] - 2018-06-01

Neu

  • Neue Anreicherungs-Dashboards
    • Internetadressen
    • Schadsoftware
  • Neues Korrelations-Dashboard:
    • Internetadressen
  • Ein neues Explorer-Dashboard wurde hinzugefügt. Mithilfe von Dropdown-Menüs ist es möglich, verschiedene Quellentypen, Risikolisten und Felder zu untersuchen, um den besten Weg zur Korrelation von Ereignisdaten zu finden.
  • Ein neues Dashboard für die globale Karte wurde hinzugefügt.
  • Ein neues Dashboard für Benachrichtigungen wurde hinzugefügt. Es zeigt zusammenfassende Informationen zu Warnungen an, die von Recorded Future mithilfe der modularen Eingabe von Warnungen abgerufen wurden.
  • Die Unterstützung für eine benutzerdefinierte Risikoliste mit Recorded Future Fusion wurde hinzugefügt. Es können beliebig viele Risikolisten hinzugefügt werden.
  • Neue Makros:
    • rf_correlate - erweitert die Funktionalität der zuvor verfügbaren rf_hits um die Unterstützung mehrerer Risikolisten. Dieses Makro entpackt und formatiert die Beweiszeichenfolge jedoch nicht. Hierfür kann die neue Makro-format_evidence verwendet werden.
    • format_evidence - Entpackt und formatiert die Nachweisdetails für eine übereinstimmende Entität neu.
    • to_date - Extrahieren Sie das Datum aus den Daten und formatieren Sie es.
    • to_time - Extrahieren Sie das Datum und die Uhrzeit aus den Daten und formatieren Sie sie.
    • to_splunk_time - Extrahieren Sie das Datum und die Uhrzeit, aber führen Sie keine Formatierung durch.
    • unpack_metrics - entpackt das Metrikfeld, das bei der Anreicherung verwendet wird.
    • unpack_relatedEntities - entpackt verwandte Entitäten, die bei der Anreicherung verwendet werden.
    • unpack_riskyCIDRIPs - entpackt die Informationen über riskante IPs im CIDR, das von der IP-Anreicherung verwendet wird.
  • Unterstützung für die Wiederholung von Warnungen aus Recorded Future wurde hinzugefügt.
  • Hilfeseiten sind in der App enthalten (einschließlich dieses Changelogs).
  • Neue Berichte:
    • Ein neuer Bericht "Neueste Aktualisierungen aller Risikolisten" wurde hinzugefügt.
    • Ein neuer Bericht, der alle Protokollereignisse aus der App anzeigt, wurde hinzugefügt.
    • Eine neue Validierungsfunktion wurde hinzugefügt. Diese Funktion kann verwendet werden, um zu überprüfen, ob die App funktioniert, oder um Informationen über potenzielle Probleme zu sammeln.
  • Synchronisierung des Suchkopf-Clusters:
    • Nur ein Clustermitglied ruft Risikolisten ab, bevor es sie an den Rest des Clusters verteilt.
    • Die Konfiguration wird synchronisiert, d. h. der API-Schlüssel kann zu jedem Knoten im Cluster hinzugefügt werden, er wird an alle Knoten weitergegeben.

Geändert

  • Korrelations-Dashboards wurden verbessert:
    • Die Zeichenfolgen für ausgelöste Regeln und Beweise, die zuvor in zwei verschiedenen Feldern angezeigt wurden, wurden jetzt zu einer kombiniert, wodurch es viel einfacher ist, die Risikoregel mit der entsprechenden Beweiszeichenfolge abzugleichen. Für jedes Ereignis werden die Beweise in absteigender Kritikalität aufgelistet. Ein farbiger Punkt gibt zudem Aufschluss darüber, wie kritisch die Evidenz ist.
    • Der Tabelle der Ereignisse, die bei der Korrelationssuche gefunden wurden, wurde eine zusätzliche Spalte hinzugefügt: die Anzahl der Vorkommen der Entität (z. B. IP).
    • Zwei zusätzliche Bereiche wurden hinzugefügt:
      • Die wichtigsten Risikoregeln der letzten 24 Stunden.
      • Die oberste Entität (z. B. IP), die in den letzten 24 Stunden mit der Risikoliste übereinstimmt.
  • Anreicherungs-Dashboards wurden verbessert:
    • Um sich auf die relevantesten Informationen zu konzentrieren, ahmt das jeweilige Dashboard die entsprechende Informationskarte von Recorded Future nach.
    • Der Bereich "Aktuelle Risikoindikatoren" wurde in "Ausgelöste Risikoregeln" umbenannt. Der Inhalt wird nach absteigender Kritikalität sortiert (die angezeigt und farblich gekennzeichnet ist).
    • Wenn Recorded Future Informationen darüber enthält, dass die Entität in einer Treat-Liste vorhanden ist, werden diese Informationen im Bereich "In Bedrohungslisten" angezeigt.
    • Wenn die Insikt Group von Recorded Future eine Studie über das Unternehmen erstellt hat, wird dies im Panel "Threat Research Insikt Group" angezeigt.
    • Die Anzahl der Kategorien verbundener Unternehmen wurde erhöht. Es werden nur Panels mit Informationen angezeigt. Die folgenden Kategorien wurden hinzugefügt:
      • Verwandter Angreifer
      • Verwandtes Ziel
      • Verwandte Akteure
      • Verwandte Produkte
      • Verwandte Länder
      • Verwandte Technologien
      • Verwandte E-Mail-Adressen
      • Verwandte Angriffsvektoren
      • Verwandte Vorgänge
    • Einige Dashboards wurden effizienter gestaltet, indem zusätzliche API-Aufrufe entfernt wurden.
  • Die aufgezeichnete zukünftige Anreicherung von Cyber-Schwachstellen wurde verbessert:
    • Informationen von NVD werden im Bereich "NVD-Übersicht" angezeigt.
    • Informationen zu den betroffenen Versionen werden im Bereich "Betroffene Versionen" angezeigt.
    • Informationen von Drittanbietern werden im Bereich "Empfehlungen, Bewertungen und Risikominderungen" angezeigt.
  • Die Dateinamen der Risikolisten im Suchordner haben sich geändert. Bsp.: rf_ip_threatfeed.csv ist rf_ip_risklist.csv geworden. Die Transformation, die für die Zuordnung zwischen dem Namen und dem Dateinamen verwendet wird, wurde angepasst, um die Abwärtskompatibilität zu gewährleisten.
  • Vollständiges Umschreiben der in der App enthaltenen Skripte.
    • Aktualisierungen der Risikolisten und die Wiederholung von Warnmeldungen wurden als modulare Eingaben implementiert, um die Zuverlässigkeit und Skalierbarkeit zu verbessern. Aktualisierungen werden durchgeführt, sobald neue Versionen der Risikolisten verfügbar sind.
    • Die Anreicherung erfolgt über eine Erweiterung des REST-Endpunkts von Splunk.
    • Die Setup-GUI wurde erweitert und nutzt das Framework von Splunk.

Entfernt

  • Die Überwachungs-Dashboards wurden entfernt, da dieses Ziel besser mit Warnungen innerhalb des Dienstes von Recorded Future erreicht werden kann.

 

 

## [3.0.5] - 2017-08-15

### Geändert

- Download von IP-/Domain-Risikolisten einmal pro Stunde

 

## [3.0.4] - 2017-05-26

### Geändert

- Risikolisten werden nicht zuerst nach /tmp heruntergeladen

- Einzelnes risklist.py Skript zum Herunterladen

- Befehle zum Herunterladen der Risikoliste (Splunk Macros)

- Reduzierte Größe der Demodaten

- Layout von Anreicherungs-Dashboards

- Standardwerte für Anreicherungs-Dashboards

 

### Entfernt

- Conifg-Dashboards

 

## [3.0.3] - 2017-05-02

### Geändert

## Zertifizierungsprobleme behoben

   - Fehlerprotokoll des Sitzungsschlüssels entfernt

   - Die Dokumentation für die API-Token-Eingabe wurde aktualisiert, um expliziter zu sein

 

## [3.0.2] - 2017-04-25

### Geändert

## Zertifizierungsprobleme behoben

   - Validieren von Benutzer-Proxy-Eingaben

 

## [3.0.1] - 2017-04-17

### Geändert

## Zertifizierungsprobleme behoben

   - Javascript aus setup.xml entfernt

- Umbenennung des Ordners für die Beispiel-Log-Dateien



## [3.0.0] - 2017-03-17

### Geändert

## Wichtige Zertifizierungsprobleme behoben

   - API-Token ist verschlüsselt

   - Risikolisten werden zuerst auf tmp heruntergeladen, dann auf Lookups, nicht auf Lookups

- Erste Schritte wurden aktualisiert, um neue Ergänzungen widerzuspiegeln

- Die Installationsanleitung wurde aktualisiert, um die Änderungen widerzuspiegeln

- Proxy kann über die Benutzeroberfläche hinzugefügt werden

- Standardhäufigkeit der Downloads der Risikoliste (IP/Domain 4 Stunden, Vuln/Hash 1 Tag)

- Aktualisiertes Layout der Anreicherungs-Dashboards

- Die Bedrohungslandschaft wird in "Überwachen" geändert.

- Geänderte Namenskonventionen für .py Dateien, die zu mehreren Entitätstypen passen

- Aktualisierte Download-Befehle, um Argumente zu akzeptieren

- Den Benutzern wurde die Berechtigung erteilt, auf gespeicherte Passwörter zuzugreifen (verschlüsseltes API-Token)

- Umgestaltet, um die Vorteile der neuen API zu nutzen

- Verwenden Sie Requests anstelle von urllib2

- Auf neues Logo aktualisiert

- Das Dashboard "IP-Korrelat" verweist nicht mehr auf Wordpress-Demodaten

- Versionsnummern geändert in major.minor.bugfix

- Der Link "Aufgezeichnete Zukunft" ist jetzt app.recordedfuture.com

- Geplante Berichte geben das aktuelle Datum zurück, wenn sie erfolgreich abgeschlossen wurden

- Beispielprotokolldateien für Korrelations-Dashboards hinzugefügt

 

### Hinzugefügt

- Anreicherungs-Dashboards für Schwachstellen

- Korrelieren von Dashboards für Schwachstellen, Domänen und Hashes

- Konfigurations-Dashboards zum Filtern von Risikolisten nach Risikoregeln

- Paket von Muster-Risikolisten und Korrelationsdaten

 

### Entfernt

- Dashboard für aktuelle Bedrohungstrends

- Veralteter Code gelöscht

- Nicht verwendete Makros und Befehle entfernt

 

## [2.12.13] - 2016-12-13

### Geändert

- Geänderte Lese-/Schreib-/Ausführungsrechte für bin-Ordner

 

### Hinzugefügt

- Hinzufügen des 'lib'-Ordners mit Python-Modulen zur Verschlüsselung des Schlüssels

 

### Entfernt

- Entfernung von Recorded Future - Threatfeed aus savedsearches.conf

 

### Hinzugefügt

- Die Farbcodierung der Heatmap wurde den Tabellenbereichen in den folgenden Dashboards hinzugefügt:

 

Logarithmische Korrelationen

IP-Überwachung

Domain-Überwachung

Aktuelle Bedrohungstrends

 

### Geändert

- Dashboards wurden geändert, um rf_threatfeed.csv Suche zu verwenden.

 

## [2.2.4] - 2016-02-04

### Geändert

- Die API-Abfrage des IP-Anreicherungsdashboards verwendet IpAddress-data_group

- Die API-Abfrage für das Domänenanreicherungsdashboard verwendet InternetDomainName data_group

- Die API-Abfrage für das Hash-Anreicherungs-Dashboard verwendet Hash-data_group

- Die drei oben genannten Änderungen geben jetzt genaue Risikobewertungen und stimmen mit RF-Aufklärungskarten überein.

- /bin/rf_observablequery.py geändert, um Änderungen an API-Abfragen an Anreicherungs-Dashboards zu verarbeiten

- v3.0 rf_threatfeed jetzt als Nachschlage- und Korrelationsfunktion verwendet

- Risiko-Score-Metrik zum IP-Anreicherungs-Dashboard hinzugefügt

- Änderung der Schriftgröße von Metriken im Übersichtsbereich von Anreicherungs-Dashboards

- Name von "Add-on" in "App" geändert

 

### Hinzugefügt

- IP-Monitoring-Dashboard mit Eingabefeld für IP-Adresse

- /appserver/static/rf_enrich_kpi.css zum Überschreiben von Standardschriftgrößen in Übersichtsfenstern

- Beispiel-Bedrohungs-Feed im Lookup-Verzeichnis enthalten

 

## [1.11.11] - 2015-11-1

### Geändert

- |localop zu Dashboards hinzugefügt, um es zu adressieren. Hinweis: In einigen Fällen einer verteilten Umgebung reicht es nicht aus, nur das Schlüsselwort 'localop' zu verwenden. Vorher wird ein senkrechter Strich (|) benötigt.

 

## [1.10.29] - 2015-10-29

### Geändert

- Das Schlüsselwort "localop" wurde zum Suchbegriff im Dashboard für die IP-Anreicherung hinzugefügt.

 

## [1.10.16] - 2015-10-16

### Geändert

- Die Anforderung "Threatfeed-URL" wurde aus dem Installations-Setup-Bildschirm entfernt.

- Der Code wurde so geändert, dass der Bedrohungsfeed von Recorded Future nur mit API-Token heruntergeladen wird (für zusätzliche Sicherheit).

- Die Splunk-Add-on-Dokumentation wurde aktualisiert, um die Änderungen widerzuspiegeln.

- Deaktivierte Drilldown-Funktion, die auf die Splunk-Suche umgeleitet wurde, auf den folgenden Dashboards:

 

Aktuelle Bedrohungstrends

IP-Anreicherung

Domain-Anreicherung

Hash-Anreicherung

 

### Hinzugefügt

- Die Farbcodierung der Heatmap wurde den Tabellenbereichen in den folgenden Dashboards hinzugefügt:

 

Logarithmische Korrelationen

IP-Überwachung

Domain-Überwachung

Aktuelle Bedrohungstrends

 

## [1.10.09] - 2015-10-09

### Behoben

- rf_hits Makrosyntax in der Datei macros.conf korrigiert

 

## [1.08.17] - 2015-08-17

### Hinzugefügt

- Hinzufügen rf_threatfeed.csv Bedrohungsfeed-Suche zur Bewertung des Risikos von IP-Adressen.

 

### Geändert

- Dashboards wurden geändert, um rf_threatfeed.csv Suche zu verwenden.