Änderungsprotokoll der Splunk Enterprise-App

Änderungsprotokoll

All notable changes to the Recorded Future Splunk add-on will be documented in this file.

[4.0.3] - 2018-11-09

Fehlerbehebung

  • Kompatibilitätsproblem mit Python-Anfragen, die mit dem Splunk-Server ausgeliefert werden.
  • Interne REST-Aufrufe sind in Clustern zeitweise fehlgeschlagen.
  • Links zu Advisories aus dem Dashboard "Anreicherung von Sicherheitslücken" wurden unterbrochen.
  • Die Benennung der Geheimdienstkarte an einigen Stellen wurde korrigiert.
  • Die falsche Größe von Logos an einigen Stellen wurde behoben.
  • Es wurde eine Einstellung hinzugefügt, um die SSL-Verifizierung bei Bedarf zu deaktivieren.
  • Suchkopf-Cluster-Überprüfungen im Validierungsbericht.
  • Probleme beim Lesen von Konfigurationsdateien unter Windows

Verbesserungen

  • Die Beispieldaten wurden gefiltert, um zu vermeiden, dass sie als Schadsoftware gekennzeichnet werden.
  • Improved validation report which detects missing configuration on search head clusters.
  • Konfigurationsoption hinzugefügt, um die SSL-Verifizierung zu deaktivieren (wird bei einigen
    Proxy-Konfigurationen).

[4.0.2] - 2018-09-11

Bug fix

  • Die Erkennung des Suchkopfs ist auf einem Splunk-Server, der ohne Lizenzen ausgeführt wird, fehlgeschlagen.
  • Der Link zu ASN-Informationskarten war falsch.

Verbesserungen

  • XML im Dashboard wurde auf die neue SimpleXML-Spezifikation aktualisiert.
  • Die Farbeinstellungen wurden aktualisiert, um sie an die neue Grafik in Splunk 7.1 anzupassen.
  • Kleinere Verbesserungen des Erscheinungsbilds von Dashboards.
  • Die standardmäßige SOC-Ansicht wurde in die Ansicht "Warnungen" geändert.

[4.0.1] - 2018-06-27

Verbessert

  • Added a placeholder for the getting_started dashboard to redirect old installations with customized navigation to the new start page.
  • Verbesserungen der Dokumentation.

Entfernt

  • Removed server.conf since Splunk prohibits it. Search head installs will have to manually add it.

[4.0.0] - 2018-06-01

Neu

  • Neue Anreicherungs-Dashboards
    • Internetadressen
    • Schadsoftware
  • Neues Korrelations-Dashboard:
    • Internetadressen
  • A new Explorer dashboard has been added. Using drop-down menus it's possible to explore different sourcetypes, risklists and fields to find the best way to correlate event data.
  • Ein neues Dashboard für die globale Karte wurde hinzugefügt.
  • A new Alerts dashboard was added. It displays summary information about alerts pulled from Recorded Future using the alerts modular input.
  • Support for Custom risklist using Recorded Future Fusion was added. Any number of risklists can be added.
  • Neue Makros:
    • rf_correlate - extends the functionality of previously available rf_hits with support for multiple risklists. This macro does however not unpack and format the evidence string. The new macro format_evidence can be used for this.
    • format_evidence - unpacks and reformats the evidence details for a matching entity.
    • to_date - Extrahieren Sie das Datum aus den Daten und formatieren Sie es.
    • to_time - Extrahieren Sie das Datum und die Uhrzeit aus den Daten und formatieren Sie sie.
    • to_splunk_time - Extrahieren Sie das Datum und die Uhrzeit, aber führen Sie keine Formatierung durch.
    • unpack_metrics - entpackt das Metrikfeld, das bei der Anreicherung verwendet wird.
    • unpack_relatedEntities - entpackt verwandte Entitäten, die bei der Anreicherung verwendet werden.
    • unpack_riskyCIDRIPs - unpacks the information about risky IPs in the CIDR used by IP enrichment.
  • Unterstützung für die Wiederholung von Warnungen aus Recorded Future wurde hinzugefügt.
  • Hilfeseiten sind in der App enthalten (einschließlich dieses Changelogs).
  • Neue Berichte:
    • Ein neuer Bericht "Neueste Aktualisierungen aller Risikolisten" wurde hinzugefügt.
    • Ein neuer Bericht, der alle Protokollereignisse aus der App anzeigt, wurde hinzugefügt.
    • A new validation feature has been added. This feature can be used to verify that the app can work or to gather information about potential issues.
  • Synchronisierung des Suchkopf-Clusters:
    • Only one cluster member retrieves risklists before distributing them to the rest of the cluster.
    • Configuration is synchronized, ex the API key can be added to any node in the cluster, it will be propagated to all nodes.

Geändert

  • Korrelations-Dashboards wurden verbessert:
    • The Triggered Rules and Evidence strings that were previously shown in two different fields have now been combined into one, making it much easier to match Risk Rule with the corresponding Evidence String. For each event the Evidence is listed in descending criticality. A colored dot also provides information about how critical the evidence is.
    • An addtional column has been added to the table of events found in the correlation search: the count of occurences of the entity (ex IP).
    • Zwei zusätzliche Bereiche wurden hinzugefügt:
      • Die wichtigsten Risikoregeln der letzten 24 Stunden.
      • The top entity (ex IP) which matches the risk list during the last 24 hours.
  • Anreicherungs-Dashboards wurden verbessert:
    • To help focus on the most relevant information the respective dashboard mimics the corresponding information card from Recorded Future.
    • The "Current Risk Indicators" panel has been renamed to "Triggered Risk Rules". The content is sorted by descending Criticality (which is shown and color coded).
    • When Recorded Future has information that the entity is present on a Treat list this information is shown in the "In Threat Lists" panel.
    • If Recorded Future's Insikt Group has produced research about the entity this is shown in the "Threat Research Insikt Group" panel.
    • The number of categories of related entities has been increased. Only panels with information are shown. The following categories have been added:
      • Verwandter Angreifer
      • Verwandtes Ziel
      • Verwandte Akteure
      • Verwandte Produkte
      • Verwandte Länder
      • Verwandte Technologien
      • Verwandte E-Mail-Adressen
      • Verwandte Angriffsvektoren
      • Verwandte Vorgänge
    • Some dashboards have been made more efficient by removing additional API calls.
  • Die aufgezeichnete zukünftige Anreicherung von Cyber-Schwachstellen wurde verbessert:
    • Informationen von NVD werden im Bereich "NVD-Übersicht" angezeigt.
    • Information about affected versions is shown in the "Affeced Versions" panel.
    • Information third party information is shown in the "Advisories, Assessments and Mitigations" panel.
  • The filenames of the risklists in the the lookups folder have changed. Ex: rf_ip_threatfeed.csv has become rf_ip_risklist.csv. The transform used to map between the name and the file name has been adapted to ensure backwards compatibility.
  • Vollständiges Umschreiben der in der App enthaltenen Skripte.
    • Updates of the risklists and retreival of alerts have been implemented as modular inputs to improve reliability and scalability. Updates are performed as soon as new versions of the risklists become available.
    • Die Anreicherung erfolgt über eine Erweiterung des REST-Endpunkts von Splunk.
    • Die Setup-GUI wurde erweitert und nutzt das Framework von Splunk.

Entfernt

  • The monitoring dashboards have been removed since this goal is better achieved using alerts within Recorded Future's service.

 

 

## [3.0.5] - 2017-08-15

### Geändert

- Download von IP-/Domain-Risikolisten einmal pro Stunde

 

## [3.0.4] - 2017-05-26

### Geändert

- Risikolisten werden nicht zuerst nach /tmp heruntergeladen

- Einzelnes risklist.py Skript zum Herunterladen

- Befehle zum Herunterladen der Risikoliste (Splunk Macros)

- Reduzierte Größe der Demodaten

- Layout von Anreicherungs-Dashboards

- Standardwerte für Anreicherungs-Dashboards

 

### Entfernt

- Conifg-Dashboards

 

## [3.0.3] - 2017-05-02

### Geändert

## Zertifizierungsprobleme behoben

   - Fehlerprotokoll des Sitzungsschlüssels entfernt

   - Die Dokumentation für die API-Token-Eingabe wurde aktualisiert, um expliziter zu sein

 

## [3.0.2] - 2017-04-25

### Geändert

## Zertifizierungsprobleme behoben

   - Validieren von Benutzer-Proxy-Eingaben

 

## [3.0.1] - 2017-04-17

### Geändert

## Zertifizierungsprobleme behoben

   - Javascript aus setup.xml entfernt

- Umbenennung des Ordners für die Beispiel-Log-Dateien



## [3.0.0] - 2017-03-17

### Geändert

## Wichtige Zertifizierungsprobleme behoben

   - API-Token ist verschlüsselt

   - Risikolisten werden zuerst auf tmp heruntergeladen, dann auf Lookups, nicht auf Lookups

- Erste Schritte wurden aktualisiert, um neue Ergänzungen widerzuspiegeln

- Die Installationsanleitung wurde aktualisiert, um die Änderungen widerzuspiegeln

- Proxy kann über die Benutzeroberfläche hinzugefügt werden

- Standardhäufigkeit der Downloads der Risikoliste (IP/Domain 4 Stunden, Vuln/Hash 1 Tag)

- Aktualisiertes Layout der Anreicherungs-Dashboards

- Die Bedrohungslandschaft wird in "Überwachen" geändert.

- Geänderte Namenskonventionen für .py Dateien, die zu mehreren Entitätstypen passen

- Aktualisierte Download-Befehle, um Argumente zu akzeptieren

- Den Benutzern wurde die Berechtigung erteilt, auf gespeicherte Passwörter zuzugreifen (verschlüsseltes API-Token)

- Umgestaltet, um die Vorteile der neuen API zu nutzen

- Verwenden Sie Requests anstelle von urllib2

- Auf neues Logo aktualisiert

- Das Dashboard "IP-Korrelat" verweist nicht mehr auf Wordpress-Demodaten

- Versionsnummern geändert in major.minor.bugfix

- Der Link "Aufgezeichnete Zukunft" ist jetzt app.recordedfuture.com

- Geplante Berichte geben das aktuelle Datum zurück, wenn sie erfolgreich abgeschlossen wurden

- Beispielprotokolldateien für Korrelations-Dashboards hinzugefügt

 

### Hinzugefügt

- Anreicherungs-Dashboards für Schwachstellen

- Korrelieren von Dashboards für Schwachstellen, Domänen und Hashes

- Konfigurations-Dashboards zum Filtern von Risikolisten nach Risikoregeln

- Paket von Muster-Risikolisten und Korrelationsdaten

 

### Entfernt

- Dashboard für aktuelle Bedrohungstrends

- Veralteter Code gelöscht

- Nicht verwendete Makros und Befehle entfernt

 

## [2.12.13] - 2016-12-13

### Geändert

- Geänderte Lese-/Schreib-/Ausführungsrechte für bin-Ordner

 

### Hinzugefügt

- Hinzufügen des 'lib'-Ordners mit Python-Modulen zur Verschlüsselung des Schlüssels

 

### Entfernt

- Entfernung von Recorded Future - Threatfeed aus savedsearches.conf

 

### Hinzugefügt

- Die Farbcodierung der Heatmap wurde den Tabellenbereichen in den folgenden Dashboards hinzugefügt:

 

Logarithmische Korrelationen

IP-Überwachung

Domain-Überwachung

Aktuelle Bedrohungstrends

 

### Geändert

- Dashboards wurden geändert, um rf_threatfeed.csv Suche zu verwenden.

 

## [2.2.4] - 2016-02-04

### Geändert

- Die API-Abfrage des IP-Anreicherungsdashboards verwendet IpAddress-data_group

- Die API-Abfrage für das Domänenanreicherungsdashboard verwendet InternetDomainName data_group

- Die API-Abfrage für das Hash-Anreicherungs-Dashboard verwendet Hash-data_group

- Die drei oben genannten Änderungen geben jetzt genaue Risikobewertungen und stimmen mit RF-Aufklärungskarten überein.

- /bin/rf_observablequery.py geändert, um Änderungen an API-Abfragen an Anreicherungs-Dashboards zu verarbeiten

- v3.0 rf_threatfeed jetzt als Nachschlage- und Korrelationsfunktion verwendet

- Risiko-Score-Metrik zum IP-Anreicherungs-Dashboard hinzugefügt

- Änderung der Schriftgröße von Metriken im Übersichtsbereich von Anreicherungs-Dashboards

- Name von "Add-on" in "App" geändert

 

### Hinzugefügt

- IP-Monitoring-Dashboard mit Eingabefeld für IP-Adresse

- /appserver/static/rf_enrich_kpi.css zum Überschreiben von Standardschriftgrößen in Übersichtsfenstern

- Beispiel-Bedrohungs-Feed im Lookup-Verzeichnis enthalten

 

## [1.11.11] - 2015-11-1

### Geändert

- |localop zu Dashboards hinzugefügt, um es zu adressieren. Hinweis: In einigen Fällen einer verteilten Umgebung reicht es nicht aus, nur das Schlüsselwort 'localop' zu verwenden. Vorher wird ein senkrechter Strich (|) benötigt.

 

## [1.10.29] - 2015-10-29

### Geändert

- Das Schlüsselwort "localop" wurde zum Suchbegriff im Dashboard für die IP-Anreicherung hinzugefügt.

 

## [1.10.16] - 2015-10-16

### Geändert

- Die Anforderung "Threatfeed-URL" wurde aus dem Installations-Setup-Bildschirm entfernt.

- Der Code wurde so geändert, dass der Bedrohungsfeed von Recorded Future nur mit API-Token heruntergeladen wird (für zusätzliche Sicherheit).

- Die Splunk-Add-on-Dokumentation wurde aktualisiert, um die Änderungen widerzuspiegeln.

- Deaktivierte Drilldown-Funktion, die auf die Splunk-Suche umgeleitet wurde, auf den folgenden Dashboards:

 

Aktuelle Bedrohungstrends

IP-Anreicherung

Domain-Anreicherung

Hash-Anreicherung

 

### Hinzugefügt

- Die Farbcodierung der Heatmap wurde den Tabellenbereichen in den folgenden Dashboards hinzugefügt:

 

Logarithmische Korrelationen

IP-Überwachung

Domain-Überwachung

Aktuelle Bedrohungstrends

 

## [1.10.09] - 2015-10-09

### Behoben

- rf_hits Makrosyntax in der Datei macros.conf korrigiert

 

## [1.08.17] - 2015-08-17

### Hinzugefügt

- Hinzufügen rf_threatfeed.csv Bedrohungsfeed-Suche zur Bewertung des Risikos von IP-Adressen.

 

### Geändert

- Dashboards wurden geändert, um rf_threatfeed.csv Suche zu verwenden.