변경 로그

All notable changes to the Recorded Future Splunk ES add-on will be documented in this file.

[4.0.0] - 2018-10-23

신규

• 적응형 응답이 추가되었습니다.
  • The Adaptive Response can be added to any correlation search yielding supported IOC types (IP, domain, hash and URL). A new notable event will be created if the event can be enriched.
  • Ad-hoc mode is available (ex from the Incidents review panel), once used a drilldown link will open a panel with latest information about the IOC.
• URL 위험 정보를 추가했습니다.
• 인시던트 검토 대시보드의 위험 증거 표시가 개선되었습니다.
• Support for Custom risklist using Recorded Future Fusion was added. Any number of risklists can be added.
• 기록된 미래에서 알림을 다시 가져오는 기능이 추가되었습니다.
• 앱에 도움말 페이지가 포함되어 있습니다(이 변경 로그 포함).
• 새 보고서:
  • 새 보고서 "모든 위험 목록의 최신 업데이트" 가 추가되었습니다.
  • 앱의 모든 로그 이벤트를 표시하는 새로운 보고서가 추가되었습니다.
  • A new validation feature has been added. This feature can be used to verify that the app can work or to gather information about potential issues.
• New options to customize access to Recorded Future's API (non-standard URL and optional SSL verification).
• 검색 헤드 클러스터 동기화:
  • Only one cluster member retrieves risklists before distributing them to the rest of the cluster.
  • Configuration is synchronized, ex the API key can be added to any node in the cluster, it will be propagated to all nodes.

변경됨

• The filenames of the risklists in the the lookups folder have changed. Ex: rf_ip_threatfeed.csv has become rf_ip_risklist.csv. The transform used to map between the name and the file name has been adapted to ensure backwards compatibility.
• 앱에 포함된 스크립트를 완전히 다시 작성합니다.
  • Updates of the risklists and retreival of alerts have been implemented as modular inputs to improve reliability and scalability. Updates are performed as soon as new versions of the risklists become available.
  • 설정 GUI는 확장되었으며 Splunk의 프레임워크를 활용합니다.
• Minor graphical changes to adapt to Splunk's GUI changes introduced in Splunk 7.1.

[3.2.3]

• 관리 호스트 및 포트를 수동으로 재정의하는 구성 구문을 추가했습니다.

[3.2.2]

• 인증 요구 사항을 준수하도록 구성 파일을 조정했습니다.
• 환경 변수가 설정되지 않은 경우 SPLUNK_HOME이 감지되는 방식을 개선했습니다.

[3.2.1]

• Bug fix in verify_rf_app.py which failed to take default values into account in one of the verification steps.
• Modified verify_rf_app.py to flag missing folders which are created when running the risk list retreival script as warnings rather than errors.

[3.2.0]

• 파이썬 모듈을 bin 디렉터리로 이동했습니다(Splunk의 요구 사항).
• Added a new script (| script verifyRFApp) that performs a number of test on the system and app environment to help troubleshoot any issues.

[3.1.4]

• 버그 수정: URL 인코딩에서 IOC를 조회하도록 워크플로우를 변경했습니다.

[3.1.3] - 2017-10-10

• Handle case when there is a UniversalForwarder running on standard REST endpoint and the Splunk Enterprise is running on a non standard port.

[3.1.2] - 2017-10-03

• Splunk가 실행 중인 ES 버전을 알려주지 않을 때 처리합니다.

[3.1.1] - 2017-09-22

• 아이콘이 업데이트되었습니다.
• CLI 실행 감지 구현이 개선되었습니다.
• GUI에 추가된 프록시가 https 프록시인지 확인하는 기능을 추가했습니다.
• 설정 양식에서 토큰을 난독화합니다.

[3.1.0] - 2017-09-04

• 업데이트 간격이 느슨해지지 않도록 합니다.
• 설정 GUI가 개선되었습니다.
• CLI 실행 감지 및 방지 기능이 추가되었습니다.
• Splunk 및 Splunk ES 버전에 대한 계측이 추가되었습니다.
• 기본 스탠자의 이름을 로깅으로 변경(새로운 Splunk 요구 사항)
• inputs.conf에서 0과 1을 거짓과 참으로 바꿨습니다.

[3.0.6] - 2017-08-16

• web.conf에서 바이트 순서 표시(BOM)를 처리합니다.
• 잘못된 기본 로그 수준을 수정했습니다(INFO여야 함).

[3.0.5] - 2017-07-24

• 기본값이 아닌 관리 포트 구성을 감지하고 사용합니다.

[3.0.4] - 2017-07-18

• 애플리케이션 로그를 $SPLUNK_HOME/var/log/TA-recorded_future/get-rf-threatlists.py로 변경합니다.
• 이벤트젠 샘플 및 설정을 제거했습니다.
• 시작할 때 로그 버전과 OS를 기록합니다.
• Create directory for lookups if it doesn't exist (can be the case on search head clusters).
• 클러스터 배포에 대한 정보가 업데이트되었습니다.

[3.0.3] - 2017-07-11

• Added the possibility to run "| script updateRFThreatlists" in the web GUI. This will print some stats about the risk lists and if needed update them.
• 여러 곳에서 로깅을 추가했습니다.
• 대부분의 장소에서 나가기 전에 잡아서 기록하세요.
• 대부분의 장소에 특정 종료 코드를 추가했습니다.
• 프로그램에서 토큰을 얻지 못한 경우 passwords.conf 파일이 존재하는지 테스트합니다.
• api_key.py에 대한 유니트 테스트를 추가했습니다.
• 업데이트된 설치 지침.

[3.0.2] - 2017-06-21

• Added saved searches to purge the Threat intelligence framework of outdated Recorded Future data.
• 간격, 최대 항목 및 활성화의 위험 목록 구성에 따라 추가되었습니다.
• The get-rf-threatlists.py script now runs every 5 minutes by default. During each run it checks whether a new download is requrired for any of the enabled risk lists.
• Removed the algorithm field from the generated CSV for the Threat Intelligence framework since this wasn't parsed by the framework.
• Windows에서 지원을 실행하기 위한 몇 가지 변경 사항이 있습니다.
• Modified correlation search for domain based events to properly extract the domain from a URL.

[3.0.1] - 2017-06-01

• 검색 헤드 클러스터에서 설정에 액세스할 수 있도록 GUI를 활성화합니다.

[3.0.0] - 2017-04-19

• Make use of new Recorded Future Python API endpoints and corresponding Python library.
• 도메인 및 해시 위험 목록을 추가했습니다.
• 위협 인텔리전스 프레임워크에 대해 별도의 최소화된 CSV 파일을 생성합니다.
• 위협_키의 이름을 rf_ 접두사를 사용하도록 변경했습니다.
• 조회 파일의 크기를 줄였습니다.
• 지식 번들의 크기를 최소화하기 위해 블랙리스트가 추가되었습니다.
• 워크플로우를 더욱 강력하게 개선했습니다.
• 각 위험 목록의 최대 항목 수를 제한하는 기능이 추가되었습니다.
• 특정 위험 목록을 활성화/비활성화할 수 있는 기능이 추가되었습니다.
• 로글 레벨 변경 지원이 추가되었습니다. 로깅이 개선되었습니다.
• setup.xml에서 JavaScript를 제거했습니다.

[2.4.2] - 2017-02-19

• Splunk 비밀번호 저장소 관련 문제에 대한 임시 해결 방법.

[2.4.1] - 2017-02-15

• Added instrumentation for troubleshooting interaction with Splunk password store.

[2.4.0]

• Updated the RF correlation search so that it piggybacks off of the ES correlation search, 'Threat Activity Detected'.

[2.3.9] - 2016-12-31

• config_파일의 문제를 수정했습니다.

[2.3.8] - 2016-12-22

• Reworked the threshold so that a target number of entries is specified, the system will then select a threshold that will yield a number of entries in the vicinity of that number.

[2.3.7] - 2016-12-19

• Added a threshold which only included entries with a risk score above a certain level.

[2.3.6] - 2016-11-29

• 사용하지 않는 검색어를 정리했습니다.

[2.3.5] - 2016-11-22

• 병합

[2.3.4] - 2016-11-17

• 임시2.0.5 파일 처리의 복원력이 향상되었습니다.

[2.3.3]

• 버그 수정 - 매분마다 입력 스크립트가 API에 충돌하는 문제 수정

[2.3.0] - 2016-10-31

• 인증 기준을 충족하기 위한 다양한 수정 사항.

[2.1.3]

• 파이썬 설정 스크립트에서 사용하지 않는 가져오기를 제거했습니다.
• 다양한 파일 권한이 Splunk 가이드 라인과 일치하도록 업데이트되었습니다.
• 파일 이름 규칙 및 경로가 Splunk 가이드 라인과 일치하도록 업데이트되었습니다.
• 임시 파일의 위치를 앱 디렉토리 내로 변경했습니다.
• 요구 사항 및 클러스터 고려 사항에 대한 문서가 추가되었습니다.

[2.1.2]

• Force lookup on correlation search to run on the search head and not on any remote peers

[2.1.1] - 2016-09-22

• 임시 파일이 남는 버그가 수정되었습니다.

[2.1.0] - 2016-09-16

• 버그 수정
• Updated get-rf-threatlist.py to make sure rfsetup.conf exists before trying to get API token
• 30분마다 get-rf-threatlist.py를 실행하도록 inputs.conf 구문을 제거했습니다.
• Created commands.conf file and added a saved search to run every 30 min that will run get-rf-threatlist.py

[2.0.6] - 2016-09-06

• 인시던트 보기에서 제목에 대한 잘못된 드롭다운 메뉴를 제거했습니다.

[2.0.5] - 2016-09-02

• Splunk 오류를 일으키는 문제 수정 "스크립트가 비정상적으로 종료되었습니다."

[2.0.4] - 2016-08-26 Ess

• 문자 인코딩 관련 일부 문제를 수정했습니다.
• 오류 처리 및 오류 후 정리가 개선되었습니다.
• 저장된 검색에서 잘못된 상관관계 검색이 발생하는 문제를 수정했습니다.

[2.0.3] - 2016-08-24

• 증거 세부 정보가 표시되는 방식이 개선되었습니다.
• Risk Score, Triggered Rules (previously Risk String) and Evidences Details are listed in that order.

[2.0.2]

• RF 위험 점수는 Splunk ES 전체 심각도에서 고려됩니다.

[2.0.0]

• STIX 피드에서 CSV 피드로 변경됨
• '위험 점수', '위험 문자열', '증거 문자열'에 대한 필드 추가
• 버그 수정(앱 비활성화 후 KV 스토어에서 데이터가 제거되지 않음)

2016-04-03

• 초기 릴리스(비커)