Splunk Enterprise Security Versionshinweise zur -Integration

  • Freigeben Version: Store
  • Aktualisiert 4. April 2024
  • 5 Minuten Lesedauer

    • Versionsverlauf für die Integration Security Operations Splunk Enterprise Security auf ServiceNow Store.

    Wichtig:
    Weitere Informationen zu Systemanforderungen und Familienkompatibilität finden Sie in der Anwendungsliste auf der Website des ServiceNow Store.

    Versionsverlauf

    Version 12.0.12 – April 2024
    • Behoben:
      • Das Upgrade von geplanten Skripts für die Splunk-ES-Ereigniserfassung wird sicher durchgeführt.
      • Splunk ES-Integration – Probleme bei der Verarbeitung, wenn große Nutzlasten erfasst werden.
      • Paar von SplunkES-Fehlern in Bezug auf Feldübersetzungen.
    Version 12.0.10 – November 2023
    • Geändert: Geringfügige Verbesserungen an unseren Back-End-Bibliotheken.
    • Behoben: Splunk ES Integration ruft keine wichtigen Ereignis-Updates in Splunk auf.
    Version 12.0.6 – Mai 2023
    Behoben:
    • Der einmalige Abruf funktionierte auf der Planungsseite des Profils nicht, als wir das Datumsformat für Splunk ES in TT-MM-JJJJ änderten.
    • Die Zusammenfassung betroffener Anwender funktioniert in Splunk ES nicht.
    • ServiceNow Security Operations Event Ingestion Add-on für Splunk ES – importierte Ereignisse sind in der Tabelle „Splunk ES-Ereignis zu Aufgaben“ nicht sichtbar.
    Version 12.0.5 – Januar 2023
    Kleinere Korrekturen im Zusammenhang mit Fehlern während der Erstellung des Splunk ES-Ereignisprofils.
    Version 12.0.4 – September 2022
    • Behoben:
      • Fehlende beachtenswerte Ereignisse während der Ausfallzeit des Splunk-Servers behandelt.
      • In der Tabelle „Splunk ES Event to Task“ wird die Notable-ID als separate Spalte beibehalten, da die Daten der Notable-ID nach einer Woche gelöscht werden.
      • Um Verzögerungen bei der SIR-Erstellung zu beheben, werden die geplanten Abruf- und Abfrageaufgaben in zwei verschiedene Aufgaben aufgeteilt.
    Version 12.0.2 – Juni 2022
    • Neu:
      • Neue Systemeigenschaften für Folgendes hinzugefügt:
        • Um das Trennzeichen verfügbar zu machen.
        • Um die Anzahl der Werte zu begrenzen, die in jedem von Splunk empfangenen Feld analysiert werden sollen.
        • Um die Anzahl der Überlappungsminuten zu definieren, die beim Abrufen der Ereignisse aus Splunk hinzugefügt werden sollen (um die Indizierungsverzögerung von Splunk zu umgehen).
        • Am Ende wurde ein Hinweis hinzugefügt, um zu bestimmen, ob die Splunk-Feldwerte begrenzt und gekürzt sind.
    • Geändert:
      • Version der AngularJS-Bibliothek aktualisiert.
      • Durch das Ändern der Splunk ES-Profilregeln werden nicht alle Zuordnungsdaten gelöscht.
    • Behoben:
      • Das Problem mit der Sonderzeichenkombination „$&“ in den Feldwerten für wichtiges Ereignis.
      • Leere SIR wird erstellt (SIR-Sequenz wird übersprungen), wenn die M2M-Zuordnung für erkennbare Elemente/CIs im Profil durchgeführt wird.
      • Das Profil ruft Ereignisse ab, obwohl es vom Typ „Geplant“ zu „Manueller Erfassungstyp“ aktualisiert wird.
    Version 12.0.1 – März 2022
    • Neu:
      • Neue Systemeigenschaft für Folgendes hinzugefügt:
        • Um das Trennzeichen verfügbar zu machen.
        • Um die Anzahl der Werte zu begrenzen, die in jedem von Splunk empfangenen Feld analysiert werden sollen.
        • Um die Anzahl der Überlappungsminuten zu definieren, die beim Abrufen der Ereignisse aus Splunk hinzugefügt werden sollen (um die Indizierungsverzögerung von Splunk zu umgehen).
    • Geändert: Aktualisierte Version der AngularJS-Bibliothek.
    • Behoben:
      • Das Problem mit der Sonderzeichenkombination „&“ in den Feldwerten für wichtige Ereignisse wurde behoben.
      • Leere SIR wird erstellt (SIR-Sequenz wird übersprungen), wenn die M2M-Zuordnung für erkennbare Elemente/CIs im Profil durchgeführt wird.
      • Das Profil ruft Ereignisse ab, auch wenn es von „Geplant“ zu „Manueller Erfassungstyp“ aktualisiert wird.
    Version 12.0.0 – Dezember 2021
    • Neu:
      • Tokenbasierte Authentifizierung für Splunk ES-Ereigniserfassung für wichtige Ereignisse aktiviert.
      • Sie können jetzt die standardmäßige Referenzlink-URL für wichtige Ereignisse während der Profilerstellung ändern. Wird in zugehörigen Listen verwendet, die alle Datensätze für aggregierte Ereignisse enthalten.
    • Geändert:
      • Mehrere Splunk ES-Korrelationsregeln können in einem einzigen Profil ausgewählt werden.
      • Möglichkeit, mehrere Splunk ES-Felder für wichtige Ereignisse den Feldern „Betroffener Anwender“ (Zugehörige Liste) im SIR-Incident zuzuordnen.
      • Möglichkeit zum Zuordnen von Ereignisfeldern zu Beobachtungslistentyp-Feldern während der Zuordnungsphase der Einrichtung des Integrationsprofils.
      • Die standardmäßige Aufbewahrungsdauer der Ereignisimport-Tabelle wurde in 30 Tage geändert.
      • Profilverhalten geändert, um eine Aktivierung zu verhindern, bis das Profil abgeschlossen ist.
    Version 11.0.0 – Juni 2021
    Neu: Sie können Splunk Enterprise Security-Profileinstellungen von einer Now Platform-Instanz in eine andere Now Platform-Instanz exportieren und importieren. Zu den Einstellungen, die Sie exportieren und importieren können, gehören Profilname, Korrelationsregeln, Zuordnungen, Filter, Zusammenfassungskriterien, Feldübersetzungen, abgerufene Beispieldaten, Zeitplanung und Quellinformationen der Konfigurationskachel.
    Version 10.5.0: Februar 2021
    Neu: Einführung von Funktionalität zur Unterstützung von zusammengesetzter Logik für Bedingungen von Zusammenfassungskriterien in der Splunk ES-Integration. Beispielsweise können Sie jetzt mehrere übereinstimmende Feldwerte mit einer ODER-Bedingung verwenden.
    Version 10.4.0 – Oktober 2020
    • Geändert:
      • Wenn eine Korrelationsregel für wichtige Ereignisse in Splunk ES deaktiviert oder inaktiv ist, werden Profileinstellungen (z. B. Beispielereignisse, Zuordnungen) beibehalten. Die Regel muss deaktiviert und ersetzt werden, und es müssen neue Einstellungen erstellt werden, um vorhandene Einstellungen zu löschen.
      • Unterdrückte wichtige Ereignisse in Splunk ES werden während der Erfassung von Ereignissen immer ausgeschlossen, ohne dass zusätzliche Filter erforderlich sind.
      • Der Abfragemechanismus für Profile wurde aktualisiert, um ein Überlappungsfenster zwischen aufeinanderfolgenden Abfragen zu erstellen und sicherzustellen, dass innerhalb eines bestimmten Intervalls keine wichtigen Ereignisse übersehen werden.
      • Wenn zwei oder mehr Splunk ES-Felder einem einzelnen SIR-Feld zugeordnet sind, z. B. Beschreibung, und ein Splunk ES-Feldwert NULL/leer ist, füllt das SIR-Feld die verbleibenden Nicht-NULL-Feldwerte aus.
    • Behoben:
      • Wichtige Ereignisse werden auch dann erfasst, wenn die Korrelationsregel Sonderzeichen wie umgekehrte Schrägstriche (\), zusätzliche Leerzeichen am Ende des Regelnamens und andere Sonderzeichen (~!@#$%^&*()_+{} enthält. []“:;'?><,./|\).
    Version 10.0.2 – Mai 2020
    • Geändert: Der Feldname „Quelle“ im Profil für den Typ „Manuelle Ereignisweiterleitung“ wird in „Splunk-Quellfeldwert“ geändert, um sich von anderen Quellfeldern im Profil zu unterscheiden.
    • Behoben:
      • Splunk ES-Abfragen für wichtige Ereignisse wurden optimiert, einschließlich Clustern mehrerer Profilabfragen in einer einzigen Abfrage, um den Leistungsaufwand auf dem Splunk ES-Quellserver zu reduzieren.
      • Datums-/Uhrzeitfelder für Splunk ES werden im UTC-Format gespeichert, um Zeitzonendiskrepanzen zwischen der Splunk-Quelle und der SeviceNow-Instanz zu vermeiden.
      • Wenn ein Profil kopiert wird, werden die Konfigurationswerte für „Zusätzliche Einstellungen“ zusammen mit allen anderen Profilkonfigurationseinstellungen kopiert.
    Version 9.1.0 – Januar 2020
    • Neu:
      • Die Größe der Namensspalte wurde auf 100 erhöht
      • Wenn ein wichtiges Ereignis zweimal von Splunk ES weitergeleitet wird, wird kein doppelter Security Incident erstellt bzw. das Ereignis wird nicht zu einem vorhandenen Security Incident aggregiert
      • Abhängig vom Status „Aktiv“/„Inaktiv“ des vorhandenen Profils können Anwender ein manuelles Profil mit derselben Quelle erstellen
      • In den zusammengefassten Einträgen der zugehörigen Ereignisliste wurde ein Hyperlink-Eintrag für das Ereignis hinzugefügt
      • Standard-Hyperlink-Format für die Arbeitsnotizzuordnung
      • Das Zuordnungsformat unterstützt neue Zeilen, wenn mehrere Ereignisfelder einem einzelnen Incident-Feld zugeordnet werden
    • Behoben: Tooltip-Lokalisierung im Zuordnungsabschnitt für +,-,{}-Symbole
    Version 9.0.4 – November 2019
    • Neu:
      • Erstellen Sie Profile, um SIR-Incidents für bestimmte Arten von wichtigen Ereignissen mit den folgenden Konfigurationen zu erstellen:
        • Erstellen Sie Profile für geplante Warnungen und manuelle Weiterleitungen.
        • Ordnen Sie den SIR-Feldern beachtenswerte Spunkt Enterprise Security-Ereignisse zu, und zeigen Sie eine Vorschau mit Beispieldaten an.
        • Filterbedingungen und Zusammenfassungskriterien für die Erstellung von SIR-Incidents.
        • Einmaliger Abruf von Ereignissen für die letzten sieben Tage.
        • Laufender Abruf von Ereignissen mit einem Abfrageintervall.
        • Wichtige Ereignisse werden während der Erstellung und des Abschlusses von SIR an Splunk Enterprise Security aktualisiert.
        • Zusammenfassung von Ereignissen zu SIR-Incidents mit mehreren CIs und erkennbaren Elementen.
        • Ändern Sie das Profil für die manuelle Weiterleitung wichtiger Ereignisse, um für die Zuordnung von Ereignistypen die Quelle anstelle des Quelltyps zu verwenden.
        • Zusammenfassung von Ereignissen zu SIR-Incidents, wenn das Splunk-Feld Arbeitsnotizen zugeordnet und das Kontrollkästchen „Arbeitsnotizen protokollieren“ während der Zusammenfassung aktiviert wird.