Splunk ES TAの変更履歴
更新履歴
All notable changes to the Recorded Future Splunk ES add-on will be documented in this file.
[4.0.0] - 2018-10-23
新機能
-
Adaptive Response が追加されました。
- The Adaptive Response can be added to any correlation search yielding supported IOC types (IP, domain, hash and URL). A new notable event will be created if the event can be enriched.
- Ad-hoc mode is available (ex from the Incidents review panel), once used a drilldown link will open a panel with latest information about the IOC.
- URL リスク情報を追加しました。
- インシデントレビューダッシュボードでのリスク証拠の表示が改善されました。
- Support for Custom risklist using Recorded Future Fusion was added. Any number of risklists can be added.
- Recorded Future からのアラートの取得のサポートが追加されました。
- ヘルプページはアプリに含まれています(この変更ログを含む)。
-
新しいレポート:
- 新しいレポート「すべてのリスクリストの最新更新」が追加されました。
- アプリからのすべてのログイベントを表示する新しいレポートが追加されました。
- A new validation feature has been added. This feature can be used to verify that the app can work or to gather information about potential issues.
- New options to customize access to Recorded Future's API (non-standard URL and optional SSL verification).
-
検索ヘッド クラスターの同期:
- Only one cluster member retrieves risklists before distributing them to the rest of the cluster.
- Configuration is synchronized, ex the API key can be added to any node in the cluster, it will be propagated to all nodes.
変更
- The filenames of the risklists in the the lookups folder have changed. Ex: rf_ip_threatfeed.csv has become rf_ip_risklist.csv. The transform used to map between the name and the file name has been adapted to ensure backwards compatibility.
-
アプリに含まれるスクリプトを完全に書き直します。
- Updates of the risklists and retreival of alerts have been implemented as modular inputs to improve reliability and scalability. Updates are performed as soon as new versions of the risklists become available.
- セットアップGUIが拡張され、Splunkのフレームワークが活用されるようになりました。
- Minor graphical changes to adapt to Splunk's GUI changes introduced in Splunk 7.1.
[3.2.3]
- 管理ホストとポートを手動でオーバーライドする構成スタンザを追加しました。
[3.2.2]
- 認定要件に準拠するように構成ファイルを調整しました。
- 環境変数が設定されていない場合のSPLUNK_HOMEの検出方法を改善しました。
[3.2.1]
- Bug fix in verify_rf_app.py which failed to take default values into account in one of the verification steps.
- Modified verify_rf_app.py to flag missing folders which are created when running the risk list retreival script as warnings rather than errors.
[3.2.0]
- pythonモジュールをbinディレクトリに移動しました(Splunkの要件)。
- Added a new script (| script verifyRFApp) that performs a number of test on the system and app environment to help troubleshoot any issues.
[3.1.4]
- バグ修正: URL のエンコードから IOC を検索するようにワークフローを変更しました。
[3.1.3] - 2017-10-10
- Handle case when there is a UniversalForwarder running on standard REST endpoint and the Splunk Enterprise is running on a non standard port.
[3.1.2] - 2017-10-03
- Splunkが実行中のESのバージョンを通知しない場合に処理します。
[3.1.1] - 2017-09-22
- アイコンを更新しました。
- CLI 起動検出の実装が改善されました。
- gui で追加されたプロキシが https プロキシであるという検証を追加しました。
- [設定] フォームでトークンを難読化します。
[3.1.0] - 2017-09-04
- 更新間隔がずれないようにしました。
- セットアップGUIを改善しました。
- CLI 起動の検出と防止が追加されました。
- SplunkとSplunk ESバージョンのインストルメンテーションを追加しました。
- デフォルトスタンザの名前をloggingに変更しました(新しいSplunk要件)
- inputs.conf の 0 と 1 を false と true に置き換えました。
[3.0.6] - 2017-08-16
- web.conf でバイトオーダーマーク (BOM) を処理します。
- 誤ったデフォルトのログレベルを修正しました(INFOである必要があります)。
[3.0.5] - 2017-07-24
- デフォルト以外の管理ポート設定を検出して使用します。
[3.0.4] - 2017-07-18
- アプリケーションログを$SPLUNK_HOME/var/log/TA-recorded_future/get-rf-threatlists.py に変更します。
- Eventgen のサンプルと構成を削除しました。
- 起動時にバージョンと OS をログに記録します。
- Create directory for lookups if it doesn't exist (can be the case on search head clusters).
- クラスターでのデプロイに関する情報が更新されました。
[3.0.3] - 2017-07-11
- Added the possibility to run "| script updateRFThreatlists" in the web GUI. This will print some stats about the risk lists and if needed update them.
- 多くの場所にログを追加しました。
- ほとんどの場所で、終了する前にキャッチしてログに記録します。
- ほとんどの場所に特定の終了コードを追加しました。
- プログラムがトークンのオプトインに失敗した場合に、passwords.conf ファイルが存在するかどうかをテストします。
- api_key.py の単体テストを追加しました。
- インストール手順を更新しました。
[3.0.2] - 2017-06-21
- Added saved searches to purge the Threat intelligence framework of outdated Recorded Future data.
- リスクリストごとに、間隔、max_entries、有効の設定が追加されました。
- The get-rf-threatlists.py script now runs every 5 minutes by default. During each run it checks whether a new download is requrired for any of the enabled risk lists.
- Removed the algorithm field from the generated CSV for the Threat Intelligence framework since this wasn't parsed by the framework.
- サポートを Windows 上で実行するためのいくつかの変更。
- Modified correlation search for domain based events to properly extract the domain from a URL.
[3.0.1] - 2017-06-01
- GUI が有効で、検索ヘッド クラスタのセットアップにアクセスできる。
[3.0.0] - 2017-04-19
- Make use of new Recorded Future Python API endpoints and corresponding Python library.
- ドメインとハッシュのリスクリストを追加しました。
- 脅威インテリジェンス フレームワーク用に最小化された個別の CSV ファイルを生成します。
- threat_keys に rf_ プレフィックスが付くように名前が変更されました。
- ルックアップファイルのサイズを縮小しました。
- ナレッジバンドルのサイズを最小化するためにブラックリストを追加しました。
- ワークフローを改善して、より堅牢にしました。
- 各リスクリストのエントリの最大数を制限するサポートが追加されました。
- 特定のリスクリストを有効/無効にするサポートが追加されました。
- ログレベルを変更するためのサポートが追加されました。 ログ記録の改善。
- setup.xml から JavaScript を削除しました。
[2.4.2] - 2017-02-19
- Splunkパスワードストアの問題に対する一時的な回避策。
[2.4.1] - 2017-02-15
- Added instrumentation for troubleshooting interaction with Splunk password store.
[2.4.0]
- Updated the RF correlation search so that it piggybacks off of the ES correlation search, 'Threat Activity Detected'.
[2.3.9] - 2016-12-31
- config_fileの問題を修正しました。
[2.3.8] - 2016-12-22
- Reworked the threshold so that a target number of entries is specified, the system will then select a threshold that will yield a number of entries in the vicinity of that number.
[2.3.7] - 2016-12-19
- Added a threshold which only included entries with a risk score above a certain level.
[2.3.6] - 2016-11-29
- 未使用の検索をクリーンアップしました。
[2.3.5] - 2016-11-22
- マージ
[2.3.4] - 2016-11-17
- 一時 2.0.5 ファイル処理の回復性が向上しました。
[2.3.3]
- バグ修正 - 入力スクリプトが毎分APIにヒットする
[2.3.0] - 2016-10-31
- 認証の基準を満たすためのさまざまな修正。
[2.1.3]
- Pythonセットアップスクリプトの未使用のインポートを削除しました。
- Splunkのガイドラインに合わせてさまざまなファイル権限が更新されました。
- ファイル名の規則とパスが Splunk のガイドラインと一致するように更新されました。
- 一時ファイルの場所をアプリディレクトリ内に変更しました。
- 要件とクラスターに関する考慮事項に関するドキュメントを追加しました。
[2.1.2]
- Force lookup on correlation search to run on the search head and not on any remote peers
[2.1.1] - 2016-09-22
- 一時ファイルが残る不具合を修正しました。
[2.1.0] - 2016-09-16
- 修正されたバグ
- Updated get-rf-threatlist.py to make sure rfsetup.conf exists before trying to get API token
- inputs.conf スタンザを削除して、30 分ごとに get-rf-threatlist.py するようにしました
- Created commands.conf file and added a saved search to run every 30 min that will run get-rf-threatlist.py
[2.0.6] - 2016-09-06
- インシデント ビューのタイトルの誤ったドロップダウン メニューを削除しました。
[2.0.5] - 2016-09-02
- Splunkエラー「スクリプトが異常終了しました」の原因となる問題を修正しました
[2.0.4] - 2016-08-26 Ess
- 文字エンコーディングに関するいくつかの問題を修正しました。
- エラー処理とエラー後のクリーンアップが改善されました。
- 保存された検索で誤った相関検索を行う問題を修正しました。
[2.0.3] - 2016-08-24
- 証拠の詳細の表示方法を改善しました。
- Risk Score, Triggered Rules (previously Risk String) and Evidences Details are listed in that order.
[2.0.2]
- RFリスクスコアは、Splunk ESの全体的な重大度で考慮されます。
[2.0.0]
- STIXフィードからCSVフィードに変更
- 「リスクスコア」、「リスク文字列」、「証拠文字列」のフィールドを追加
- バグを修正しました(アプリを無効にした後、KVストアからデータが削除されません)
2016-04-03
- 初期リリース (Beaker)