Splunk Enterprise Event Ingestion für Security Operations Versionshinweise

  • Freigeben Version: Store
  • Aktualisiert 7. November 2024
  • 5 Minuten Lesedauer

    • Versionsverlauf für die Anwendung Splunk Enterprise Event Ingestion für Security Operations auf ServiceNow Store.

    Wichtig:
    Weitere Informationen zu Systemanforderungen und Familienkompatibilität finden Sie in der Anwendungsliste auf der Website des ServiceNow Store.

    Versionsverlauf

    Version 11.3.1 – November 2024
    • Geändert: Die Such-API wurde auf Version v2 geändert.
    • Behoben:
      • Während der Erfassung ist ein zeitweise auftretender 404-Fehler aufgetreten.
      • Die Nullzeigerprüfung fehlte für die Warnungsliste, die Splunk-Ereignisprofilen zugeordnet ist. Dies verursachte einen NPE, wenn die Warnungsliste leer ist.
    Version 11.2.12 – April 2024
    Behoben: Leistungsprobleme beim Erstellen von SIRs, wenn eine große Menge von Splunk-Ereignissen erfasst wird.
    Version 11.2.9 – Februar 2024

    Behoben: Nutzlastvariablen der Splunk-Integration werden jetzt ordnungsgemäß verarbeitet.

    Version 11.2.6 – November 2023
    Geändert: Geringfügige Verbesserungen an unseren Back-End-Bibliotheken.
    Version 12.0.8 – August 2023
    • Geändert: Sie können jetzt Felder für wichtige Ereignisse bestimmten erkennbaren Elementen zuordnen.
    • Behoben:
      • Wichtige Elemente werden nicht abgerufen, wenn der MID-Server in der Splunk ES-Integration ausgefallen ist.
      • Die Splunk ES-Integration für das SIR-Modul hat die Erfassung von Notables beendet, da große Nutzlastereignisse die Zeichenfolgengrößenbeschränkung von 32 MB überschritten haben.
      • Aktualisierungen des SIR nach der Erstellung werden ignoriert, wenn das Skript für die Integrationstransformation lange dauert.
    Version 12.0.8 – August 2023
    • Geändert: Sie können jetzt Felder für wichtige Ereignisse bestimmten erkennbaren Elementen zuordnen.
    • Behoben:
      • Wichtige Elemente werden nicht abgerufen, wenn der MID-Server in der Splunk ES-Integration ausgefallen ist.
      • Die Splunk ES-Integration für das SIR-Modul hat die Erfassung von Notables beendet, da große Nutzlastereignisse die Zeichenfolgengrößenbeschränkung von 32 MB überschritten haben.
      • Aktualisierungen des SIR nach der Erstellung werden ignoriert, wenn das Skript für die Integrationstransformation lange dauert.
    Version 12.0.7 – Juli 2023
    Behoben: Fehler im Abschnitt „Vorschau“ beim Erstellen eines Ereignisprofils.
    Version 11.2.4 – Mai 2023
    • Behoben:
      • Der einmalige Abruf funktionierte auf der Planungsseite des Profils nicht, als wir das Datumsformat für Splunk V2 in tt-MM-JJJJ änderten.
      • Splunk-Ereignisprofile: Lange Feldbezeichnungen werden bei einem Browser-Zoom von 200 % in die folgende Zeile aufgeteilt.
    Version 11.2.3 – Januar 2023
    Kleinere Korrekturen im Zusammenhang mit Fehlern während der Erstellung des Splunk v2-Ereignisprofils.
    Version 11.2.2 – September 2022
    Behoben: Textkorrekturen für Lokalisierung.
    Version 11.2.0 – Mai 2022
    • Neu: Tokenbasierte Authentifizierung aktiviert.
    • Behoben:
      • Wenn Sie eine M2M-Zuordnung für erkennbare Elemente/CIs im Profil durchführen, wird ein leerer SIR erstellt (die SIR-Sequenz wird übersprungen).
      • Das Problem der Zusammenfassung mit Referenzfeldern wurde behoben.
    Version 11.1.0 – Dezember 2021
    • Geändert:
      • Die standardmäßige Aufbewahrungsdauer der Ereignisimport-Tabelle wurde in 30 Tage geändert.
      • Profilverhalten geändert, um eine Aktivierung zu verhindern, bis das Profil abgeschlossen ist.
    • Behoben:
      • UI-Korrekturen zur Unterstützung der Next Experience-UI.
      • Es wurde ein Problem behoben, bei dem Splunk-Warnungen für große Nutzlasten nicht verarbeitet wurden.
      • Ein Problem mit einer Endlosschleife wurde behoben, die durch die Zeichen ($&) im Splunk-Wert verursacht wurde.
    Version 10.6.0 – Juni 2021
    • Neu:
      • Sie können Splunk Enterprise Event Ingestion-Profileinstellungen von einer Now Platform-Instanz in eine andere Now Platform-Instanz exportieren und importieren. Zu den Einstellungen, die Sie exportieren und importieren können, gehören Profilname, Korrelationsregeln, Zuordnungen, Filter, Zusammenfassungskriterien, Feldübersetzungen, abgerufene Beispieldaten, Zeitplanung und Quellinformationen der Konfigurationskachel.
      • Ein neues Zuordnungsfeld „Splunk-Warnungsname“ wird hinzugefügt, damit Sie ein Ereignis zur Quellwarnungsregel in Splunk zurückverfolgen können.
      • Linke Navigationsmenüs für Ereignisimport und Ereignis-zu-Aufgaben-Tabelleneinträge hinzugefügt.
      • Wenn ein einzelnes Feld mehrere Werte enthält, werden diese Werte analysiert und einzelnen Feldeinträgen im SIR-Incident-Formular zugeordnet. Beispielsweise können die Quell-IP-Adressen, Asset-Namen oder URLs mehrere Feldeinträge für erkennbare Elemente oder mehrere CIs aufweisen, die analysiert und einzelnen Feldeinträgen im SIR-Incident-Formular zugeordnet werden.
    • Behoben:
      • Das Abrufen von Beispieldaten wird unterbrochen, wenn ein Warnungsname ein Sonderzeichen wie ein Komma (,) enthält.
      • Das Splunk-Profil kann manchmal keine Verbindung herstellen, wenn mehrere Splunk-Quellen konfiguriert sind.
    Version 10.6.0 – November 2020
    • Neu:
      • In einem einzigen Profil können jetzt mehrere ähnliche Warnungen ausgewählt werden.
      • Wenn ein Splunk-Ereignisfeld einem Feld mit mehreren Werten zugeordnet ist und sich die aggregierten Ereignisfeldwerte vom ursprünglichen auslösenden Ereignis unterscheiden. Die zusätzlichen Werte werden dem Feld „SIR-Incident“ hinzugefügt. Dies gilt für häufig zugeordnete Felder mit mehreren Werten wie die folgenden:
        • Erkennbare Elemente
        • Konfigurationselemente
        • Betroffene Anwender
    • Behoben: Kleinere Fehlerbehebungen.
    Version 10.5.1 – August 2020
    • Neu:
      • Implementierte Unterstützung für die Funktionalität von Splunk Accelerate Datamodel bei der Erfassung von Warnungen in Splunk Enterprise Integration.
      • Anwender können Profile erstellen, indem sie bestimmte Splunk-Apps (zusammen mit der Core-App „Suchen“) für die Erfassung von Warnungen auswählen.
    • Korrigiert: Beim Umbenennen eines Ereignisprofils werden alle im Profil konfigurierten Feldübersetzungen entfernt.
    Version 10.4.0 – Juni 2020
    Neu: Feldübersetzungen (die während der Zuordnung von Warnungsfeldern verwendet werden) wurden so geändert, dass sie profilspezifisch anstelle von global sind.
    Version 5.2.1 – Februar 2020
    • Neu:
      • Möglichkeit hinzugefügt, Ereignisfelder während der Zuordnungsphase des Integrationsprofil-Setups Beobachtungslisten-Typfeldern zuzuordnen
      • Systemeigenschaften wurden in Splunk-Integrationseinstellungen verschoben
      • Zwei Profile können nicht mit demselben Warnungsnamen aktiv sein
      • Möglichkeit hinzugefügt, ein zweites manuelles Standardprofil zu erstellen, wenn das anfängliche Standardprofil inaktiv ist
      • Fehlermeldungen: Keine Beispielwarnungen vorhanden, keine Felder in ausgelösten Warnungsabfragen extrahiert und ungültige Datumsauswahl für einmaligen (historischen) Ereignisabruf
      • Zuordnungsformat zur Unterstützung neuer Zeilen, wenn mehrere Ereignisfelder einem einzelnen Incident-Feld zugeordnet werden
      • Möglichkeit zum Erweitern von Zuordnungsfeldern für Eingabeausdrücke hinzugefügt, um längere Zeichenfolgen zu verarbeiten, die Text ähnlich wie bei der Splunk ES-Integration umbrechen
      • Zuordnungsunterstützung für das Unterkategoriefeld
      • Die Größe der Spalte „Name“ und „Warnungslistenauswahl“ im Splunk-Ereignisprofil wurde erweitert
    Version 5.1.1 – Dezember 2019
    • Behoben:
      • Feste Integrationskonfigurationskachel, wenn „On-Prem“ ausgewählt ist
      • Zeigen Sie dem Sicherheitsanalysten zusammengefasste Warnungen für einen Security Incident an
    Version 5.1.0 – September 2019
    • Neu: Erkennbare Elemente als Zusammenfassungskriterium im Splunk-Ereignisprofil
    • Behoben:
      • Konvertierung von Splunk-Ereignissen in Incidents mit Sonderzeichen
      • TimeStamp-Konvertierung, um die richtige Zeit in Splunk abzugleichen
      • Alle Datensätze werden mithilfe von Paginierung aus Splunk abgerufen
      • Die Filterlogik für die Erstellung von Security Incidents wurde korrigiert
      • Informationsanzeige, wenn ein ungültiger Feldwert zugeordnet ist
      • Die Warnungsauswahl bei aktivierter Lokalisierung wurde korrigiert
    Version 5.0.2 – April 2019
    • Erstellen Sie mehrere Warnungserfassungsprofile, um SIR-Security Incidents für bestimmte Arten von Bedrohungen wie Phishing und Malware zu erstellen
    • Erstellen Sie mehrere Ereignisprofile für die bedarfsgesteuerte Ereignisweiterleitung über Ihre -Konsole Splunk, um SIR -Security Incidents zu erstellen
    • Drag-and-Drop-Zuordnung von Splunk Warnungs- und Ereignisfeldwerten zu zugehörigen SIR-Security Incident-Feldern
    • Eine Vorschau des Layouts des SIR-Security Incidents basierend auf Beispielwarnungen oder -ereignissen zur Validierung der Profilkonfiguration
    • Erfassung historischer Warnungen sowie laufender, zukünftiger Warnungen in konfigurierbaren Intervallen
    • Fassen Sie Ereignisse oder Warnungen zu vorhandenen SIR-Security Incidents basierend auf übereinstimmenden Feldwerten zusammen, um doppelte Security Incidents zu vermeiden