Splunk 엔터프라이즈 앱 변경 로그
변경 로그
All notable changes to the Recorded Future Splunk add-on will be documented in this file.
[4.0.3] - 2018-11-09
버그 수정
- Splunk 서버와 함께 제공되는 Python 요청과의 호환성 문제.
- 클러스터에서 내부 휴식 호출이 간헐적으로 실패했습니다.
- 취약성 강화 대시보드의 권고 링크가 끊어졌습니다.
- 일부 위치에서 정보 카드의 이름을 수정했습니다.
- 일부 위치에서 로고 타입의 크기가 부적절하게 표시되던 문제를 수정했습니다.
- 필요한 경우 SSL 확인을 비활성화하는 설정이 추가되었습니다.
- 유효성 검사 보고서에서 검색 헤드 클러스터를 확인합니다.
- Windows에서 구성 파일 읽기 문제
개선 사항
- 샘플 데이터는 멀웨어로 표시되지 않도록 필터링되었습니다.
- Improved validation report which detects missing configuration on search head clusters.
-
SSL 확인을 비활성화하는 구성 옵션이 추가되었습니다(일부
프록시 구성에 필요).
[4.0.2] - 2018-09-11
Bug fix
- 라이선스 없이 실행 중인 Splunk 서버에서 검색 헤드 감지에 실패했습니다.
- ASN 정보 카드 링크가 잘못되었습니다.
개선 사항
- 대시보드의 XML을 새로운 SimpleXML 사양으로 업데이트했습니다.
- Splunk 7.1의 새로운 시각적 요소에 맞게 색상 설정이 업데이트되었습니다.
- 대시보드의 외관과 느낌이 약간 개선되었습니다.
- 기본 SOC 보기를 알림 보기로 변경했습니다.
[4.0.1] - 2018-06-27
개선됨
- Added a placeholder for the getting_started dashboard to redirect old installations with customized navigation to the new start page.
- 문서 개선 사항.
제거됨
- Removed server.conf since Splunk prohibits it. Search head installs will have to manually add it.
[4.0.0] - 2018-06-01
신규
-
새로운 보강 대시보드
- URL
- Malwares
-
새로운 상관관계 대시보드:
- URL
- A new Explorer dashboard has been added. Using drop-down menus it's possible to explore different sourcetypes, risklists and fields to find the best way to correlate event data.
- 새로운 글로벌 지도 대시보드가 추가되었습니다.
- A new Alerts dashboard was added. It displays summary information about alerts pulled from Recorded Future using the alerts modular input.
- Support for Custom risklist using Recorded Future Fusion was added. Any number of risklists can be added.
-
새로운 매크로:
- rf_correlate - extends the functionality of previously available rf_hits with support for multiple risklists. This macro does however not unpack and format the evidence string. The new macro format_evidence can be used for this.
- format_evidence - unpacks and reformats the evidence details for a matching entity.
- to_date - 데이터에서 날짜를 추출하고 서식을 지정합니다.
- to_time - 데이터에서 날짜와 시간을 추출하여 서식을 지정합니다.
- to_splunk_time - 날짜와 시간을 추출하되 서식을 지정하지 않습니다.
- 언팩_메트릭 - 보강에 사용된 메트릭 필드의 압축을 해제합니다.
- 언팩_관련 엔티티 - 강화에 사용된 관련 엔티티의 포장을 해제합니다.
- unpack_riskyCIDRIPs - unpacks the information about risky IPs in the CIDR used by IP enrichment.
- 기록된 미래에서 알림을 다시 가져오는 기능이 추가되었습니다.
- 앱에 도움말 페이지가 포함되어 있습니다(이 변경 로그 포함).
-
새 보고서:
- 새 보고서 "모든 위험 목록의 최신 업데이트" 가 추가되었습니다.
- 앱의 모든 로그 이벤트를 표시하는 새로운 보고서가 추가되었습니다.
- A new validation feature has been added. This feature can be used to verify that the app can work or to gather information about potential issues.
-
검색 헤드 클러스터 동기화:
- Only one cluster member retrieves risklists before distributing them to the rest of the cluster.
- Configuration is synchronized, ex the API key can be added to any node in the cluster, it will be propagated to all nodes.
변경됨
-
상관관계 대시보드가 개선되었습니다:
- The Triggered Rules and Evidence strings that were previously shown in two different fields have now been combined into one, making it much easier to match Risk Rule with the corresponding Evidence String. For each event the Evidence is listed in descending criticality. A colored dot also provides information about how critical the evidence is.
- An addtional column has been added to the table of events found in the correlation search: the count of occurences of the entity (ex IP).
-
두 개의 창이 추가되었습니다:
- 지난 24시간 동안의 상위 위험 규칙입니다.
- The top entity (ex IP) which matches the risk list during the last 24 hours.
-
강화 대시보드가 개선되었습니다:
- To help focus on the most relevant information the respective dashboard mimics the corresponding information card from Recorded Future.
- The "Current Risk Indicators" panel has been renamed to "Triggered Risk Rules". The content is sorted by descending Criticality (which is shown and color coded).
- When Recorded Future has information that the entity is present on a Treat list this information is shown in the "In Threat Lists" panel.
- If Recorded Future's Insikt Group has produced research about the entity this is shown in the "Threat Research Insikt Group" panel.
-
The number of categories of related entities has been increased.
Only panels with information are shown. The following categories
have been added:
- 관련 공격자
- 관련 대상
- 관련 액터
- 관련 제품
- 관련 국가
- 관련 기술
- 관련 이메일 주소
- 관련 공격 벡터
- 관련 작업
- Some dashboards have been made more efficient by removing additional API calls.
-
향후 사이버 취약점 강화 기록이 개선되었습니다:
- NVD의 정보는 "NVD 요약" 패널에 표시됩니다.
- Information about affected versions is shown in the "Affeced Versions" panel.
- Information third party information is shown in the "Advisories, Assessments and Mitigations" panel.
- The filenames of the risklists in the the lookups folder have changed. Ex: rf_ip_threatfeed.csv has become rf_ip_risklist.csv. The transform used to map between the name and the file name has been adapted to ensure backwards compatibility.
-
앱에 포함된 스크립트를 완전히 다시 작성합니다.
- Updates of the risklists and retreival of alerts have been implemented as modular inputs to improve reliability and scalability. Updates are performed as soon as new versions of the risklists become available.
- 보강은 Splunk의 REST 엔드포인트 확장을 사용하여 수행됩니다.
- 설정 GUI는 확장되었으며 Splunk의 프레임워크를 활용합니다.
제거됨
- The monitoring dashboards have been removed since this goal is better achieved using alerts within Recorded Future's service.
## [3.0.5] - 2017-08-15
변경됨 ### 변경됨
- 한 시간에 한 번 다운로드되는 IP/도메인 위험 목록
## [3.0.4] - 2017-05-26
변경됨 ### 변경됨
- 위험 목록이 /tmp에 먼저 다운로드되지 않습니다.
- 단일 위험 목록.py 스크립트 다운로드
- 위험 목록 다운로드 명령(Splunk 매크로)
- 데모 데이터의 크기 감소
- 보강 대시보드 레이아웃
- 보강 대시보드의 기본값
### 삭제됨
- Conifg 대시보드
## [3.0.3] - 2017-05-02
변경됨 ### 변경됨
해결된 인증 문제 ##
- 세션 키의 오류 키 로그 제거
- API 토큰 항목에 대한 문서를 보다 명확하게 업데이트했습니다.
## [3.0.2] - 2017-04-25
변경됨 ### 변경됨
해결된 인증 문제 ##
- 사용자 프록시 입력 유효성 검사
## [3.0.1] - 2017-04-17
변경됨 ### 변경됨
해결된 인증 문제 ##
- setup.xml에서 자바스크립트 제거
- 예제 로그 파일의 폴더 이름 변경
## [3.0.0] - 2017-03-17
변경됨 ### 변경됨
## 주요 인증 문제 해결
- API 토큰이 암호화됨
- 위험 목록은 먼저 tmp로 다운로드한 다음 빈이 아닌 룩업으로 조회합니다.
- 새로운 추가 사항을 반영하여 시작하기가 업데이트되었습니다.
- 변경 사항을 반영하여 설치 가이드가 업데이트되었습니다.
- UI를 통해 프록시를 추가할 수 있습니다.
- 기본 위험 목록 다운로드 빈도(IP/도메인 4시간, Vuln/해시 1일)
- 강화 대시보드의 레이아웃 업데이트
- 위협 환경이 모니터링으로 변경됨
- .py의 명명 규칙이 변경되었습니다. 파일을 여러 엔티티 유형에 맞게 조정
- 인수를 받도록 다운로드 명령 업데이트
- 사용자에게 저장된 비밀번호(암호화된 API 토큰)에 액세스할 수 있는 권한 부여
- 새로운 API를 활용하도록 리팩토링된 기능
- urllib2 대신 요청 사용
- 새 로고로 업데이트
- IP 상관관계 대시보드에서 더 이상 Wordpress 데모 데이터를 참조하지 않습니다.
- 메이저.마이너.버그픽스로 버전 번호 변경
- 레코디드 퓨처 링크는 이제 app.recordedfuture.com입니다.
- 예약된 보고서가 성공적으로 완료되면 현재 날짜를 반환합니다.
- 상관관계 대시보드에 대한 예제 로그 파일 추가
### 추가됨
- 취약점에 대한 강화 대시보드
- 취약성, 도메인 및 해시에 대한 대시보드 상호 연결
- 위험 규칙별로 위험 목록을 필터링하는 구성 대시보드
- 패키지 샘플 위험 목록 및 상관관계 데이터
### 삭제됨
- 현재 위협 트렌드 대시보드
- 더 이상 사용되지 않는 코드 삭제
- 사용하지 않는 매크로 및 명령어 제거
## [2.12.13] - 2016-12-13
변경됨 ### 변경됨
- 빈 폴더에 대한 읽기/쓰기/실행 권한 변경
### 추가됨
- 키 암호화를 위한 Python 모듈이 포함된 'lib' 폴더 추가
### 삭제됨
- 기록된 미래 - savedsearches.conf에서 위협 피드 제거
### 추가됨
- 다음 대시보드의 테이블 패널에 히트맵 색상 코딩이 추가되었습니다:
로그 상관관계
IP 모니터링
도메인 모니터링
현재 위협 동향
변경됨 ### 변경됨
- rf_threatfeed.csv 조회를 사용하도록 대시보드가 변경되었습니다.
## [2.2.4] - 2016-02-04
변경됨 ### 변경됨
- IP 보강 대시보드 API 쿼리는 IpAddress data_group을 사용합니다.
- 도메인 보강 대시보드 API 쿼리는 InternetDomainName data_group을 사용합니다.
- 해시 강화 대시보드 API 쿼리는 해시 데이터_그룹을 사용합니다.
- 위의 세 가지 변경 사항은 이제 정확한 위험 점수를 제공하고 RF 인텔리전스 카드와 일치합니다.
- 보강 대시보드에 대한 API 쿼리 변경을 처리하도록 /bin/rf_observablequery.py가 변경되었습니다.
- v3.0은 이제 조회 및 상관관계에 사용되는 rf_threatfeed를 사용합니다.
- IP 강화 대시보드에 위험 점수 메트릭 추가
- 보강 대시보드의 요약 패널에서 메트릭의 글꼴 크기 변경
- 이름이 '애드온'에서 '앱'으로 변경되었습니다.
### 추가됨
- IP 모니터링 대시보드에 IP 주소 입력 필드 포함
- 요약 패널에서 기본 글꼴 크기를 재정의하려면 /appserver/static/rf_enrich_kpi.css를 수정하세요.
- 조회 디렉토리에 포함된 샘플 위협 피드
## [1.11.11] - 2015-11-1
변경됨 ### 변경됨
- 주소를 지정할 대시보드에 |localop을 추가했습니다. 참고: 일부 분산 환경의 경우 'localop' 키워드만으로는 충분하지 않을 수 있습니다. 앞에 파이프(|)가 필요합니다.
## [1.10.29] - 2015-10-29
변경됨 ### 변경됨
- IP 강화 대시보드의 검색 문자열에 'localop' 키워드를 추가했습니다.
## [1.10.16] - 2015-10-16
변경됨 ### 변경됨
- 설치 설정 화면에서 '위협 피드 URL' 요구 사항을 제거했습니다.
- 보안 강화를 위해 API 토큰만 사용하여 Recorded Future의 위협 피드를 다운로드하도록 코드가 변경되었습니다.
- 변경 사항을 반영하도록 Splunk 애드온 설명서가 업데이트되었습니다.
- 다음 대시보드에서 드릴다운 기능을 비활성화하여 Splunk 검색으로 리디렉션했습니다:
현재 위협 동향
IP 강화
도메인 강화
해시 강화
### 추가됨
- 다음 대시보드의 테이블 패널에 히트맵 색상 코딩이 추가되었습니다:
로그 상관관계
IP 모니터링
도메인 모니터링
현재 위협 동향
## [1.10.09] - 2015-10-09
수정됨 ### 수정됨
- macros.conf 파일 내 rf_hits 매크로 구문을 수정했습니다.
## [1.08.17] - 2015-08-17
### 추가됨
- IP 주소의 위험도를 평가하기 위해 rf_threatfeed.csv 위협 피드 조회를 추가했습니다.
변경됨 ### 변경됨
- rf_threatfeed.csv 조회를 사용하도록 대시보드가 변경되었습니다.