Splunk Enterprise Security 통합 릴리스 정보

  • 릴리스 버전: Store
  • 업데이트 날짜 2024년 04월 04일
  • 읽기6분

    • 의 통합에 대한 버전 이력입니다 보안 운영 Splunk Enterprise SecurityServiceNow Store.

    중요사항:
    시스템 요구 사항과 제품군 호환성에 대한 자세한 내용은 ServiceNow Store 웹 사이트에서 애플리케이션 목록을 참조하십시오.

    버전 이력

    버전 12.0.12 - 2024년 4월
    • 부정하게 결정된:
      • Splunk ES 이벤트 수집 예약된 스크립트 업그레이드가 안전하게 이루어집니다.
      • 큰 페이로드를 수집할 때 Splunk ES 통합 처리 문제
      • 필드 변환과 관련하여 몇 가지 SplunkES 오류가 발생했습니다.
    버전 12.0.10 - 2023년 11월
    • 변경됨: 백엔드 라이브러리에 대한 사소한 개선.
    • 수정됨: Splunk ES 통합이 Splunk에서 주목할 만한 이벤트 업데이트를 선택하지 않습니다.
    버전 12.0.6 - 2023년 5월
    부정하게 결정된:
    • Splunk ES에 대한 날짜 형식을 dd-MM-YYYY로 변경할 때 프로파일의 일정 페이지에서 일회성 검색이 작동하지 않았습니다.
    • 영향을 받는 사용자 집계가 Splunk ES에서 작동하지 않습니다.
    • Splunk ES용 ServiceNow 보안 운영 이벤트 수집 추가 기능 - 임포트한 이벤트가 "작업에 대한 Splunk ES 이벤트" 테이블에 표시되지 않습니다.
    버전 12.0.5 - 2023년 1월
    Splunk ES 이벤트 프로파일 생성 중 발생한 오류와 관련된 사소한 수정입니다.
    버전 12.0.4 - 2022년 9월
    • 부정하게 결정된:
      • Splunk 서버 다운타임 동안 누락된 중요 이벤트를 처리했습니다.
      • Splunk ES 작업에 대한 이벤트 테이블에서 주목할 만한 ID 데이터는 1주일 후에 지워지므로 주목할 만한 ID는 별도의 열로 유지됩니다.
      • SIR 생성 지연을 처리하기 위해 예약된 가져오기 및 폴링 작업은 두 개의 서로 다른 작업으로 분할됩니다.
    버전 12.0.2 - 2022년 6월
    • 신규:
      • 다음에 대한 새로운 시스템 속성을 추가했습니다.
        • 구분 기호 문자를 노출합니다.
        • Splunk에서 받은 각 필드에서 구문 분석할 값의 수를 제한하기 위해
        • Splunk에서 이벤트를 검색하는 동안 추가할 겹침(분)을 정의하기 위해(Splunk에서 인덱싱 지연을 극복하기 위해)
        • Splunk 필드 값이 제한되고 잘리는지 여부를 결정하는 힌트가 끝에 추가되었습니다.
    • 변경:
      • 업데이트된 AngularJS 라이브러리 버전.
      • Splunk ES 프로파일 규칙을 수정해도 모든 매핑 데이터가 지워지지는 않습니다.
    • 부정하게 결정된:
      • 주목할 만한 이벤트 필드 값의 특수 문자 '$&' 조합 문제입니다.
      • 프로파일에서 옵저버블/CI에 대해 M2M 매핑이 수행될 때 빈 SIR을 작성합니다(SIR 시퀀스 건너뛰기).
      • 프로필은 예약됨에서 수동 수집 유형으로 업데이트되지만 이벤트를 가져옵니다.
    버전 12.0.1 - 2022년 3월
    • 신규:
      • 다음에 대한 새 시스템 속성을 추가했습니다.
        • 구분 기호 문자를 노출합니다.
        • Splunk에서 받은 각 필드에서 구문 분석할 값의 수를 제한하기 위해
        • Splunk에서 이벤트를 검색하는 동안 추가할 겹침(분)을 정의하기 위해(Splunk에서 인덱싱 지연을 극복하기 위해)
    • 변경됨: 업데이트된 AngularJS 라이브러리 버전.
    • 부정하게 결정된:
      • 주목할 만한 이벤트 필드 값에서 특수 문자 '&' 조합과 관련된 문제를 해결했습니다.
      • 프로파일에서 옵저버블/CI에 대한 M2M 매핑이 완료되면 빈 SIR을 작성합니다(SIR 시퀀스 건너뛰기).
      • 프로필은 예약됨에서 수동 수집 유형으로 업데이트되지만 이벤트를 가져옵니다.
    버전 12.0.0 - 2021년 12월
    • 신규:
      • Splunk ES 중요 이벤트 수집에 대해 토큰 기반 인증을 사용하도록 설정했습니다.
      • 이제 프로필을 만드는 동안 기본 주목할 만한 이벤트 참조 링크 URL을 수정할 수 있습니다. 집계된 이벤트에 대한 모든 기록을 포함하는 관련 목록에서 사용됩니다.
    • 변경:
      • 단일 프로파일에서 여러 Splunk ES 상관관계 규칙을 선택할 수 있습니다.
      • 여러 Splunk ES 주목할 만한 이벤트 필드를 SIR 인시던트의 영향을 받는 사용자 필드(관련 목록)에 매핑하는 기능
      • 통합 프로파일 설정의 매핑 단계에서 이벤트 필드를 감시 목록 유형 필드에 매핑하는 기능입니다.
      • 이벤트 임포트 테이블 기본 보존을 30일로 수정했습니다.
      • 프로파일이 완료될 때까지 활성화되지 않도록 프로파일 동작을 수정했습니다.
    버전 11.0.0 - 2021년 6월
    신규: 한 Now Platform 인스턴스에서 다른 Now Platform 인스턴스로 Splunk 엔터프라이즈 보안 프로파일 설정을 익스포트하고 임포트할 수 있습니다. 익스포트하고 임포트할 수 있는 설정에는 프로파일 이름, 상관관계 규칙, 매핑, 필터, 집계 기준, 필드 번역, 가져온 샘플 데이터, 스케줄링 및 구성 타일 소스 정보가 포함됩니다.
    버전 10.5.0 - 2021년 2월
    신규: Splunk ES 통합에서 집계 기준 조건에 대한 복합 논리를 지원하는 기능을 도입했습니다. 예를 들어 이제 'OR' 조건을 사용하여 일치하는 여러 필드 값을 사용할 수 있습니다.
    버전 10.4.0 - 2020년 10월
    • 변경:
      • Splunk ES에서 주목할 만한 이벤트 상관관계 규칙이 비활성화되거나 비활성화되면 프로파일 설정(예: 샘플 이벤트, 매핑)이 유지됩니다. 규칙을 선택 취소하고, 바꾸고, 기존 설정을 지우려면 새 설정을 만들어야 합니다.
      • Splunk ES에서 억제된 주목할 만한 이벤트는 추가 필터링 없이 이벤트 수집 중에 항상 제외됩니다.
      • 특정 간격 내에 주목할 만한 이벤트가 누락되지 않도록 연속 폴링 간에 중복 창을 생성하도록 프로필에 대한 폴링 메커니즘을 업데이트했습니다.
      • 두 개 이상의 Splunk ES 필드가 단일 SIR 필드(예: 설명)에 매핑되고 하나의 Splunk ES 필드 값이 NULL이거나 비어 있는 경우 SIR 필드는 NULL이 아닌 나머지 필드 값을 채웁니다.
    • 부정하게 결정된:
      • 상관관계 규칙에 백슬래시(\), 규칙 이름 끝의 추가 공백 및 기타 특수 문자(~!@#$%^&*()_+{}[]":;'와 같은 특수 문자가 있는 경우에도 주목할 만한 이벤트가 수집됩니다. ><,./|\).
    버전 10.0.2 - 2020년 5월
    • 변경됨: 수동 이벤트 전달 유형 프로파일의 '소스' 필드 이름이 프로파일의 다른 소스 필드와 구분하기 위해 'Splunk 소스 필드 값'으로 변경되었습니다.
    • 부정하게 결정된:
      • Splunk ES 소스 서버의 성능 오버헤드를 줄이기 위해 여러 프로파일 쿼리를 단일 쿼리로 클러스터링하는 등 Splunk ES 주목할 만한 이벤트 쿼리를 최적화했습니다.
      • Splunk ES의 날짜/시간 필드는 Spunk 소스와 SeviceNow 인스턴스 간의 시간대 불일치를 방지하기 위해 UTC 형식으로 저장됩니다.
      • 프로필이 복사되면 추가 설정 구성 값도 다른 모든 프로필 구성 설정과 함께 복사됩니다.
    버전 9.1.0 - 2020년 1월
    • 신규:
      • 이름 열 크기가 100으로 증가
      • Splunk ES에서 주목할 만한 이벤트가 두 번 전달되면 중복 보안 인시던트가 생성되지 않으며 기존 보안 인시던트에 이벤트가 집계되지 않습니다.
      • 사용자는 기존 프로파일의 활성/비활성 상태에 따라 동일한 소스로 수동 프로파일을 만들 수 있습니다
      • 집계된 이벤트 관련 목록 항목에 주목할 만한 이벤트 하이퍼링크 항목이 추가되었습니다.
      • 작업 메모 매핑의 기본 하이퍼링크 형식
      • 여러 이벤트 필드가 단일 인시던트 필드에 매핑되는 경우 매핑 형식은 새 라인을 지원합니다.
    • 수정됨: +,-,{} 아이콘에 대한 매핑 섹션의 도구 설명 현지화
    버전 9.0.4 - 2019년 11월
    • 신규:
      • 다음 구성을 사용하여 특정 유형의 중요 이벤트에 대한 SIR 인시던트를 생성하는 프로파일을 생성합니다.
        • 예약된 경보 및 수동 전달 프로파일을 생성합니다.
        • Spunk Enterprise Security의 주목할 만한 이벤트를 SIR 필드에 매핑하고 샘플 데이터로 미리 봅니다.
        • SIR 인시던트 생성을 위한 필터 조건 및 집계 기준입니다.
        • 지난 7일 동안의 이벤트를 일회성 검색했습니다.
        • 폴링 간격이 있는 이벤트의 진행 중인 검색입니다.
        • SIR 생성 및 종결 중 Splunk 엔터프라이즈 보안에 대한 주요 이벤트 업데이트입니다.
        • 여러 CI 및 옵저버블이 있는 SIR 인시던트에 대한 이벤트 집계
        • 이벤트 유형 매핑에 소스 유형 대신 소스를 사용하도록 수동 중요 이벤트 전달 프로파일을 수정합니다.
        • splunk 필드를 작업 메모에 매핑하고 집계 중에 작업 메모 기록 확인란을 선택한 경우 이벤트를 SIR 인시던트로 집계합니다.