>

Splunk 엔터프라이즈 앱 변경 로그

변경 로그

기록된 미래 Splunk 애드온의 모든 주목할 만한 변경 사항은 이 파일에 문서화됩니다.

[4.0.3] - 2018-11-09

버그 수정

  • Splunk 서버와 함께 제공되는 Python 요청과의 호환성 문제.
  • 클러스터에서 내부 휴식 호출이 간헐적으로 실패했습니다.
  • 취약성 강화 대시보드의 권고 링크가 끊어졌습니다.
  • 일부 위치에서 정보 카드의 이름을 수정했습니다.
  • 일부 위치에서 로고 타입의 크기가 부적절하게 표시되던 문제를 수정했습니다.
  • 필요한 경우 SSL 확인을 비활성화하는 설정이 추가되었습니다.
  • 유효성 검사 보고서에서 검색 헤드 클러스터를 확인합니다.
  • Windows에서 구성 파일 읽기 문제

개선 사항

  • 샘플 데이터는 멀웨어로 표시되지 않도록 필터링되었습니다.
  • 검색 헤드 클러스터에서 누락된 구성을 감지하는 유효성 검사 보고서가 개선되었습니다.
  • SSL 확인을 비활성화하는 구성 옵션이 추가되었습니다(일부
    프록시 구성에 필요).

[4.0.2] - 2018-09-11

버그 수정

  • 라이선스 없이 실행 중인 Splunk 서버에서 검색 헤드 감지에 실패했습니다.
  • ASN 정보 카드 링크가 잘못되었습니다.

개선 사항

  • 대시보드의 XML을 새로운 SimpleXML 사양으로 업데이트했습니다.
  • Splunk 7.1의 새로운 시각적 요소에 맞게 색상 설정이 업데이트되었습니다.
  • 대시보드의 외관과 느낌이 약간 개선되었습니다.
  • 기본 SOC 보기를 알림 보기로 변경했습니다.

[4.0.1] - 2018-06-27

개선됨

  • 사용자 지정 탐색 기능이 있는 기존 설치를 새 시작 페이지로 리디렉션하는 getting_started 대시보드의 자리 표시자를 추가했습니다.
  • 문서 개선 사항.

제거됨

  • Splunk에서 금지하므로 server.conf를 제거했습니다. 검색 헤드 설치는 수동으로 추가해야 합니다.

[4.0.0] - 2018-06-01

신규

  • 새로운 보강 대시보드
    • URL
    • Malwares
  • 새로운 상관관계 대시보드:
    • URL
  • 새로운 탐색기 대시보드가 추가되었습니다. 드롭다운 메뉴를 사용하여 다양한 소스 유형, 위험 목록 및 필드를 탐색하여 이벤트 데이터를 상호 연관시키는 가장 좋은 방법을 찾을 수 있습니다.
  • 새로운 글로벌 지도 대시보드가 추가되었습니다.
  • 새로운 알림 대시보드가 추가되었습니다. 알림 모듈 입력을 사용하여 레코딩된 미래에서 가져온 알림에 대한 요약 정보를 표시합니다.
  • 기록된 미래 퓨전을 사용한 사용자 지정 위험 목록에 대한 지원이 추가되었습니다. 위험 목록은 얼마든지 추가할 수 있습니다.
  • 새로운 매크로:
    • rf_correlate - 여러 위험 목록에 대한 지원으로 이전에 사용 가능했던 rf_hits의 기능을 확장합니다. 그러나 이 매크로는 증거 문자열의 압축을 풀고 서식을 지정하지는 않습니다. 이를 위해 새로운 매크로 format_evidence를 사용할 수 있습니다.
    • format_evidence - 일치하는 엔티티에 대한 증거 세부 정보의 압축을 풀고 다시 포맷합니다.
    • to_date - 데이터에서 날짜를 추출하고 서식을 지정합니다.
    • to_time - 데이터에서 날짜와 시간을 추출하여 서식을 지정합니다.
    • to_splunk_time - 날짜와 시간을 추출하되 서식을 지정하지 않습니다.
    • 언팩_메트릭 - 보강에 사용된 메트릭 필드의 압축을 해제합니다.
    • 언팩_관련 엔티티 - 강화에 사용된 관련 엔티티의 포장을 해제합니다.
    • unpack_riskyCIDRIPs - IP 강화에 사용되는 CIDR에서 위험한 IP에 대한 정보를 언패킹합니다.
  • 기록된 미래에서 알림을 다시 가져오는 기능이 추가되었습니다.
  • 앱에 도움말 페이지가 포함되어 있습니다(이 변경 로그 포함).
  • 새 보고서:
    • 새 보고서 "모든 위험 목록의 최신 업데이트" 가 추가되었습니다.
    • 앱의 모든 로그 이벤트를 표시하는 새로운 보고서가 추가되었습니다.
    • 새로운 유효성 검사 기능이 추가되었습니다. 이 기능은 앱이 작동하는지 확인하거나 잠재적인 문제에 대한 정보를 수집하는 데 사용할 수 있습니다.
  • 검색 헤드 클러스터 동기화:
    • 클러스터 구성원 중 한 명만 위험 목록을 검색한 후 나머지 클러스터에 배포합니다.
    • 구성은 동기화되며, 예를 들어 API 키를 클러스터의 모든 노드에 추가하면 모든 노드에 전파됩니다.

변경됨

  • 상관관계 대시보드가 개선되었습니다:
    • 이전에 두 개의 다른 필드에 표시되던 트리거된 규칙과 증거 문자열이 이제 하나로 통합되어 위험 규칙과 해당 증거 문자열을 훨씬 쉽게 일치시킬 수 있습니다. 각 이벤트에 대해 증거는 중요도가 내림차순으로 나열됩니다. 또한 컬러 점으로 증거의 중요도에 대한 정보를 제공합니다.
    • 상관관계 검색에서 발견된 이벤트 테이블에 엔티티(예: IP)의 발생 횟수라는 열이 추가되었습니다.
    • 두 개의 창이 추가되었습니다:
      • 지난 24시간 동안의 상위 위험 규칙입니다.
      • 지난 24시간 동안 위험 목록과 일치하는 상위 엔티티(예: IP)입니다.
  • 강화 대시보드가 개선되었습니다:
    • 가장 관련성이 높은 정보에 집중할 수 있도록 각 대시보드는 레코디드 퓨처의 해당 정보 카드를 모방합니다.
    • "현재 위험 지표" 패널의 이름이 "트리거된 위험 규칙" 으로 변경되었습니다. 콘텐츠는 중요도가 내림차순으로 정렬됩니다(표시되고 색상으로 구분됨).
    • 기록된 미래가 처리 목록에 있는 엔티티에 대한 정보가 있는 경우 이 정보는 "위협 목록" 패널에 표시됩니다.
    • 레코디드 퓨처의 인식트 그룹이 해당 기업에 대한 연구를 수행한 경우 "위협 연구 인식트 그룹" 패널에 표시됩니다.
    • 관련 엔티티의 카테고리 수가 증가했습니다. 정보가 있는 패널만 표시됩니다. 다음 카테고리가 추가되었습니다:
      • 관련 공격자
      • 관련 대상
      • 관련 액터
      • 관련 제품
      • 관련 국가
      • 관련 기술
      • 관련 이메일 주소
      • 관련 공격 벡터
      • 관련 작업
    • 일부 대시보드는 추가 API 호출을 제거하여 더 효율적으로 개선되었습니다.
  • 향후 사이버 취약점 강화 기록이 개선되었습니다:
    • NVD의 정보는 "NVD 요약" 패널에 표시됩니다.
    • 영향을 받는 버전에 대한 정보는 "영향을 받는 버전" 패널에 나와 있습니다.
    • 타사 정보는 "권고, 평가 및 완화" 패널에 표시됩니다.
  • 조회 폴더에 있는 위험 목록의 파일 이름이 변경되었습니다. 예: rf_ip_threatfeed.csv가 rf_ip_risklist.csv로 변경되었습니다. 이름과 파일 이름 사이에 매핑하는 데 사용되는 변환은 이전 버전과의 호환성을 보장하기 위해 조정되었습니다.
  • 앱에 포함된 스크립트를 완전히 다시 작성합니다.
    • 위험 목록의 업데이트와 알림 재전송은 모듈식 입력으로 구현되어 안정성과 확장성을 개선했습니다. 위험 목록의 새 버전이 제공되는 즉시 업데이트가 수행됩니다.
    • 보강은 Splunk의 REST 엔드포인트 확장을 사용하여 수행됩니다.
    • 설정 GUI는 확장되었으며 Splunk의 프레임워크를 활용합니다.

제거됨

  • 레코디드 퓨처 서비스 내 알림을 사용하면 이 목표를 더 잘 달성할 수 있기 때문에 모니터링 대시보드는 제거되었습니다.

 

 

## [3.0.5] - 2017-08-15

변경됨 ### 변경됨

- 한 시간에 한 번 다운로드되는 IP/도메인 위험 목록

 

## [3.0.4] - 2017-05-26

변경됨 ### 변경됨

- 위험 목록이 /tmp에 먼저 다운로드되지 않습니다.

- 단일 위험 목록.py 스크립트 다운로드

- 위험 목록 다운로드 명령(Splunk 매크로)

- 데모 데이터의 크기 감소

- 보강 대시보드 레이아웃

- 보강 대시보드의 기본값

 

### 삭제됨

- Conifg 대시보드

 

## [3.0.3] - 2017-05-02

변경됨 ### 변경됨

해결된 인증 문제 ##

   - 세션 키의 오류 키 로그 제거

   - API 토큰 항목에 대한 문서를 보다 명확하게 업데이트했습니다.

 

## [3.0.2] - 2017-04-25

변경됨 ### 변경됨

해결된 인증 문제 ##

   - 사용자 프록시 입력 유효성 검사

 

## [3.0.1] - 2017-04-17

변경됨 ### 변경됨

해결된 인증 문제 ##

   - setup.xml에서 자바스크립트 제거

- 예제 로그 파일의 폴더 이름 변경



## [3.0.0] - 2017-03-17

변경됨 ### 변경됨

## 주요 인증 문제 해결

   - API 토큰이 암호화됨

   - 위험 목록은 먼저 tmp로 다운로드한 다음 빈이 아닌 룩업으로 조회합니다.

- 새로운 추가 사항을 반영하여 시작하기가 업데이트되었습니다.

- 변경 사항을 반영하여 설치 가이드가 업데이트되었습니다.

- UI를 통해 프록시를 추가할 수 있습니다.

- 기본 위험 목록 다운로드 빈도(IP/도메인 4시간, Vuln/해시 1일)

- 강화 대시보드의 레이아웃 업데이트

- 위협 환경이 모니터링으로 변경됨

- .py의 명명 규칙이 변경되었습니다. 파일을 여러 엔티티 유형에 맞게 조정

- 인수를 받도록 다운로드 명령 업데이트

- 사용자에게 저장된 비밀번호(암호화된 API 토큰)에 액세스할 수 있는 권한 부여

- 새로운 API를 활용하도록 리팩토링된 기능

- urllib2 대신 요청 사용

- 새 로고로 업데이트

- IP 상관관계 대시보드에서 더 이상 Wordpress 데모 데이터를 참조하지 않습니다.

- 메이저.마이너.버그픽스로 버전 번호 변경

- 레코디드 퓨처 링크는 이제 app.recordedfuture.com입니다.

- 예약된 보고서가 성공적으로 완료되면 현재 날짜를 반환합니다.

- 상관관계 대시보드에 대한 예제 로그 파일 추가

 

### 추가됨

- 취약점에 대한 강화 대시보드

- 취약성, 도메인 및 해시에 대한 대시보드 상호 연결

- 위험 규칙별로 위험 목록을 필터링하는 구성 대시보드

- 패키지 샘플 위험 목록 및 상관관계 데이터

 

### 삭제됨

- 현재 위협 트렌드 대시보드

- 더 이상 사용되지 않는 코드 삭제

- 사용하지 않는 매크로 및 명령어 제거

 

## [2.12.13] - 2016-12-13

변경됨 ### 변경됨

- 빈 폴더에 대한 읽기/쓰기/실행 권한 변경

 

### 추가됨

- 키 암호화를 위한 Python 모듈이 포함된 'lib' 폴더 추가

 

### 삭제됨

- 기록된 미래 - savedsearches.conf에서 위협 피드 제거

 

### 추가됨

- 다음 대시보드의 테이블 패널에 히트맵 색상 코딩이 추가되었습니다:

 

로그 상관관계

IP 모니터링

도메인 모니터링

현재 위협 동향

 

변경됨 ### 변경됨

- rf_threatfeed.csv 조회를 사용하도록 대시보드가 변경되었습니다.

 

## [2.2.4] - 2016-02-04

변경됨 ### 변경됨

- IP 보강 대시보드 API 쿼리는 IpAddress data_group을 사용합니다.

- 도메인 보강 대시보드 API 쿼리는 InternetDomainName data_group을 사용합니다.

- 해시 강화 대시보드 API 쿼리는 해시 데이터_그룹을 사용합니다.

- 위의 세 가지 변경 사항은 이제 정확한 위험 점수를 제공하고 RF 인텔리전스 카드와 일치합니다.

- 보강 대시보드에 대한 API 쿼리 변경을 처리하도록 /bin/rf_observablequery.py가 변경되었습니다.

- v3.0은 이제 조회 및 상관관계에 사용되는 rf_threatfeed를 사용합니다.

- IP 강화 대시보드에 위험 점수 메트릭 추가

- 보강 대시보드의 요약 패널에서 메트릭의 글꼴 크기 변경

- 이름이 '애드온'에서 '앱'으로 변경되었습니다.

 

### 추가됨

- IP 모니터링 대시보드에 IP 주소 입력 필드 포함

- 요약 패널에서 기본 글꼴 크기를 재정의하려면 /appserver/static/rf_enrich_kpi.css를 수정하세요.

- 조회 디렉토리에 포함된 샘플 위협 피드

 

## [1.11.11] - 2015-11-1

변경됨 ### 변경됨

- 주소를 지정할 대시보드에 |localop을 추가했습니다. 참고: 일부 분산 환경의 경우 'localop' 키워드만으로는 충분하지 않을 수 있습니다. 앞에 파이프(|)가 필요합니다.

 

## [1.10.29] - 2015-10-29

변경됨 ### 변경됨

- IP 강화 대시보드의 검색 문자열에 'localop' 키워드를 추가했습니다.

 

## [1.10.16] - 2015-10-16

변경됨 ### 변경됨

- 설치 설정 화면에서 '위협 피드 URL' 요구 사항을 제거했습니다.

- 보안 강화를 위해 API 토큰만 사용하여 Recorded Future의 위협 피드를 다운로드하도록 코드가 변경되었습니다.

- 변경 사항을 반영하도록 Splunk 애드온 설명서가 업데이트되었습니다.

- 다음 대시보드에서 드릴다운 기능을 비활성화하여 Splunk 검색으로 리디렉션했습니다:

 

현재 위협 동향

IP 강화

도메인 강화

해시 강화

 

### 추가됨

- 다음 대시보드의 테이블 패널에 히트맵 색상 코딩이 추가되었습니다:

 

로그 상관관계

IP 모니터링

도메인 모니터링

현재 위협 동향

 

## [1.10.09] - 2015-10-09

수정됨 ### 수정됨

- macros.conf 파일 내 rf_hits 매크로 구문을 수정했습니다.

 

## [1.08.17] - 2015-08-17

### 추가됨

- IP 주소의 위험도를 평가하기 위해 rf_threatfeed.csv 위협 피드 조회를 추가했습니다.

 

변경됨 ### 변경됨

- rf_threatfeed.csv 조회를 사용하도록 대시보드가 변경되었습니다.