Splunk Enterprise Event Ingestion para Operações de segurança notas da versão

  • Versão de lançamento: Store
  • Atualizado 7 de nov. de 2024
  • 6 min. de leitura

    • Histórico de versões da aplicação Splunk Enterprise Event Ingestion para Operações de segurança na ServiceNow Store.

    Importante:
    Para obter detalhes sobre os requisitos do sistema e a compatibilidade da família, consulte a lista de aplicativos no site ServiceNow Store.

    Histórico de versões

    Versão 11.3.1 - novembro de 2024
    • Alterado: alterou a API de pesquisa para a versão v2.
    • Fixo:
      • Ocorreu um erro 404 intermitente durante a ingestão.
      • A verificação de ponteiro nulo estava ausente para a lista de alertas associada aos perfis de eventos do Splunk, o que causou um NPE caso a lista de alertas estivesse vazia.
    Versão 11.2.12 - abril de 2024
    Corrigido: problemas de desempenho ao criar SIRs, quando um grande volume de eventos Splunk é ingerido.
    Versão 11.2.9 - fevereiro de 2024

    Corrigido: as variáveis de carga de integração do Splunk agora são processadas corretamente.

    Versão 11.2.6 - novembro de 2023
    Alterado: pequenas melhorias em nossas bibliotecas de back-end.
    Versão 12.0.8 - agosto de 2023
    • Alterado: agora você pode mapear campos de Evento Notável para tipos de observável específicos.
    • Fixo:
      • Notáveis não serão extraídos se o MID Server estiver inativo na integração do Splunk ES.
      • A integração do Splunk ES para o módulo SIR parou de ingerir notáveis devido a grandes eventos de carga que excedem o limite de tamanho da cadeia de caracteres de 32 MB.
      • As atualizações no SIR após a criação são desconsideradas quando o script de transformação de integração demora muito.
    Versão 12.0.8 - agosto de 2023
    • Alterado: agora você pode mapear campos de Evento Notável para tipos de observável específicos.
    • Fixo:
      • Notáveis não serão extraídos se o MID Server estiver inativo na integração do Splunk ES.
      • A integração do Splunk ES para o módulo SIR parou de ingerir notáveis devido a grandes eventos de carga que excedem o limite de tamanho da cadeia de caracteres de 32 MB.
      • As atualizações no SIR após a criação são desconsideradas quando o script de transformação de integração demora muito.
    Versão 12.0.7 - julho de 2023
    Corrigido: erros na seção "Visualizar" ao criar um perfil de evento.
    Versão 11.2.4 - maio de 2023
    • Fixo:
      • A recuperação única não estava funcionando na página de programação do perfil quando mudamos o formato de data para dd-MM-YYYY para Splunk V2.
      • Perfis de eventos do Splunk: rótulos de campos longos são divididos na seguinte linha com zoom de 200% do navegador.
    Versão 11.2.3 - janeiro de 2023
    Pequenas correções relacionadas a erros durante a criação do perfil de evento do Splunk v2.
    Versão 11.2.2 - setembro de 2022
    Fixo: correções de texto de localização.
    Versão 11.2.0 - maio de 2022
    • Novo: autenticação baseada em token habilitada.
    • Fixo:
      • Quando você executa um mapeamento de M2M para observáveis/ICs no perfil, um SIR em branco é criado (ignorando a sequência de SIR).
      • Corrigido o problema de Agregação com campos de referência.
    Versão 11.1.0 - dezembro de 2021
    • Alterado:
      • Modificou a retenção padrão da tabela de importação de eventos para 30 dias.
      • Modificou o comportamento do perfil para impedir a ativação até que o perfil seja concluído.
    • Fixo:
      • Correções de IU para oferecer suporte à IU do Next Experience.
      • Corrigido um problema em que os alertas de Splunk para cargas grandes não eram processados.
      • Corrigido um problema com um loop infinito causado por caracteres ($&) no valor do Splunk.
    Versão 10.6.0 - junho de 2021
    • Novo:
      • Você pode exportar e importar configurações de perfis de ingestão de eventos do Splunk Enterprise de uma instância da Now Platform para uma instância diferente da Now Platform. As configurações que você pode exportar e importar incluem nome do perfil, regras de correlação, mapeamentos, filtros, critérios de agregação, traduções de campos, dados de amostra obtidos, programação e informações de origem do bloco de configuração.
      • Um novo campo de mapeamento Nome do alerta do Splunk foi adicionado para que você possa rastrear um evento para a regra de alerta de origem no Splunk.
      • Adicionados menus de navegação à esquerda para Importação de eventos e Evento para entradas da tabela de tarefas.
      • Quando um único campo contém vários valores, esses valores são analisados e mapeados para entradas de campo individuais no formulário de incidente SIR. Por exemplo, os endereços IP de origem, nomes de ativos ou URLs podem ter várias entradas de campo observável ou vários ICs, que são analisados e mapeados para entradas de campo individuais no formulário de incidente SIR.
    • Fixo:
      • A busca de dados de amostra é interrompida quando um nome de alerta tem um caractere especial como Vírgula (,).
      • O perfil do Splunk às vezes pode não se conectar quando várias origens do Splunk estão configuradas.
    Versão 10.6.0 - novembro de 2020
    • Novo:
      • Vários alertas semelhantes agora podem ser selecionados em um único perfil.
      • Se um campo de evento do Splunk for mapeado para um campo de vários valores e os valores do campo de evento agregado forem diferentes do evento de acionamento inicial. Os valores adicionais são adicionados ao campo de incidente SIR. Isso se aplica a campos de vários valores normalmente mapeados, como os seguintes:
        • Observáveis
        • Itens de Configuração
        • Usuários afetados
    • Corrigido: pequenas correções de erros.
    Versão 10.5.1 - agosto de 2020
    • Novo:
      • Suporte implementado para a funcionalidade do modelo de dados acelerado do Splunk ao ingerir alertas na integração do Splunk Enterprise.
      • O usuário pode criar perfis selecionando apps Splunk específicos (junto com o app principal "Pesquisar") para ingerir alertas.
    • Corrigido: renomear um perfil de evento remove todas as traduções de campo configuradas no perfil.
    Versão 10.4.0 - junho de 2020
    Novo: as traduções de campo (que são usadas durante o mapeamento de campos de alerta) foram modificadas para se tornarem específicas do perfil em vez de globais.
    Versão 5.2.1 - fevereiro de 2020
    • Novo:
      • Adicionada a capacidade de mapear campos de evento para campos do tipo lista de observação durante a fase de mapeamento da configuração do perfil de integração
      • Propriedades do sistema movidas para configurações de integração do Splunk
      • Dois perfis não podem estar ativos com o mesmo nome de alerta
      • Adicionada a capacidade de criar um segundo perfil manual padrão se o perfil padrão inicial estiver inativo
      • Mensagens de erro - Não existem alertas de amostra, não há campos extraídos em consultas de alerta acionadas e seleção de data inválida para recuperação de evento único (histórico)
      • Formato de mapeamento para oferecer suporte a novas linhas quando vários campos de evento são mapeados para um único campo de incidente
      • Adicionada a capacidade de expandir campos de mapeamento para expressões de entrada para lidar com cadeias de caracteres mais longas que quebram texto semelhante à integração Splunk ES
      • Mapeamento de suporte para campo de subcategoria
      • Tamanho estendido da coluna Seleção de lista de nomes e alertas no perfil de eventos do Splunk
    Versão 5.1.1 - dezembro de 2019
    • Fixo:
      • Bloco de configuração de integração fixa quando o local está selecionado
      • Exibir alertas agregados de um incidente de segurança para o analista de segurança
    Versão 5.1.0 - setembro de 2019
    • Novo: observáveis como critérios de agregação no perfil de evento do Splunk
    • Fixo:
      • Conversão de eventos do Splunk em incidentes com caracteres especiais
      • Conversão de carimbo de data/hora para corresponder à hora correta no Splunk
      • Extraindo todos os registros do Splunk usando paginação
      • Corrigida a lógica de filtragem para criação de incidentes de segurança
      • Indicação de informações quando o valor de campo inválido é mapeado
      • Corrigida a seleção de alerta quando a localização está ativada
    Versão 5.0.2 - abril de 2019
    • Crie vários perfis de ingestão de alertas para criar incidentes de segurança SIR para tipos específicos de ameaças, como phishing e malware
    • Crie vários perfis de evento para encaminhamento de eventos sob demanda a partir do console Splunk para criar incidentes de segurança SIR
    • Mapeamento de arrastar e soltar de Splunk valores de campo de alerta e evento para campos de incidente de segurança SIR associados
    • Uma visualização do layout do incidente de segurança SIR com base em exemplos de alertas ou eventos para validar a configuração do perfil
    • Ingerir alertas históricos, bem como alertas futuros em andamento em intervalos configuráveis
    • Agregue eventos ou alertas a incidentes de segurança SIR existentes com base em valores de campos correspondentes para evitar incidentes de segurança duplicados