Splunk Enterprise Security Notes de version d’intégration

  • Rversion finale: Store
  • Mis à jour 4 avr. 2024
  • 7 minutes de lecture

    • Historique des versions de l’intégration Opérations de sécurité Splunk Enterprise Security sur le ServiceNow Store.

    Important :
    Pour plus d'informations sur la configuration système requise et la compatibilité des familles, consultez la liste des applications sur le site Web ServiceNow Store.

    Historique de version

    Version 12.0.12 - Avril 2024
    • Fixe:
      • La mise à niveau des scripts d’ingestion d’événements Splunk ES est sécurisée.
      • Problèmes de traitement de Splunk ES Integration lors de l’ingestion de charges utiles volumineuses.
      • Quelques erreurs SplunkES concernant les traductions de champs.
    Version 12.0.10 - Novembre 2023
    • Changé : Améliorations mineures de nos bibliothèques backend.
    • Corrigé : Splunk ES Integration ne récupère pas les mises à jour d’événements notables dans Splunk.
    Version 12.0.6 - Mai 2023
    Fixe:
    • La récupération ponctuelle ne fonctionnait pas sur la page de planification du profil lorsque nous changeons le format de date en jj-MM-AAAA pour Splunk ES.
    • L’agrégation des utilisateurs affectés ne fonctionne pas dans Splunk ES.
    • Module complémentaire d’ingestion d’événements ServiceNow Security Operations pour Splunk ES : les événements importés ne sont pas visibles dans la table « Événement Splunk ES pour les tâches ».
    Version 12.0.5 - Janvier 2023
    Corrections mineures liées à des erreurs lors de la création de profils d’événements Splunk ES.
    Version 12.0.4 - Septembre 2022
    • Fixe:
      • Gestion des événements notables manquants pendant le temps d’indisponibilité du serveur Splunk.
      • Dans la table Événement à tâche Splunk ES, l’ID notable est conservé en tant que colonne distincte, car les données d’ID notable sont effacées au bout d’une semaine.
      • Pour gérer le retard dans la création SIR, les travaux planifiés d’extraction et d’interrogation sont divisés en deux tâches différentes.
    Version 12.0.2 - Juin 2022
    • Nouveau :
      • Ajout de nouvelles propriétés système pour les éléments suivants :
        • Pour exposer le caractère du délimiteur.
        • pour limiter le nombre de valeurs à analyser dans chaque champ reçu de Splunk.
        • Pour définir le nombre de minutes de chevauchement à ajouter lors de la récupération des événements à partir de Splunk (pour surmonter le délai d’indexation de Splunk).
        • Ajout d’un conseil à la fin pour déterminer si les valeurs de champ Splunk sont limitées et tronquées.
    • Changé:
      • Version de la bibliothèque AngularJS mise à jour.
      • La modification des règles de profil Splunk ES n’efface pas toutes les données de mappage.
    • Fixe:
      • Problème lié à la combinaison de caractères spéciaux « $& » dans les valeurs du champ Événement notable.
      • Création d’un SIR vide (ignorer la séquence SIR) lorsque le mappage M2M est effectué pour les observables/CI de profil.
      • Le profil extrait les événements bien qu’ils soient mis à jour du type d’ingestion planifié au type d’ingestion manuelle.
    Version 12.0.1 - Mars 2022
    • Nouveau :
      • Nouvelle propriété système ajoutée pour les éléments suivants :
        • Pour exposer le caractère du délimiteur.
        • pour limiter le nombre de valeurs à analyser dans chaque champ reçu de Splunk.
        • Pour définir le nombre de minutes de chevauchement à ajouter lors de la récupération des événements à partir de Splunk (pour surmonter le délai d’indexation de Splunk).
    • Changé : Mise à jour de la version de la bibliothèque AngularJS.
    • Fixe:
      • Correction du problème avec la combinaison de caractères spéciaux « & » dans les valeurs de champ d’événement notables.
      • Création d’un SIR vide (ignorer la séquence SIR) lorsque le mappage M2M est effectué pour les observables/CI de profil.
      • Le profil extrait les événements bien qu’il ait été mis à jour du type d’ingestion planifiée en type d’ingestion manuelle.
    Version 12.0.0 - Décembre 2021
    • Nouveau :
      • Authentification basée sur un jeton activée pour l’ingestion d’événements notables Splunk ES.
      • Vous pouvez désormais modifier l’URL du lien de référence de l’événement notable par défaut lors de la création du profil. Ceci est utilisé dans les listes connexes qui contiennent tous les enregistrements d’événements agrégés.
    • Changé:
      • Plusieurs règles de corrélation Splunk ES peuvent être sélectionnées dans un seul profil.
      • Possibilité de mapper plusieurs champs d’événements notables Splunk ES aux champs Utilisateur affecté (liste connexe) sur l’incident SIR.
      • Possibilité de mapper des champs d’événements à des champs de type liste de surveillance pendant la phase de mappage de la configuration du profil d’intégration.
      • La conservation par défaut de la table d’importation d’événements a été modifiée à 30 jours.
      • Modification du comportement du profil pour empêcher l’activation tant que le profil n’est pas terminé.
    Version 11.0.0 - Juin 2021
    Nouveau : vous pouvez exporter et importer les paramètres des profils Splunk Enterprise Security d’une instance Now Platform vers une autre instance Now Platform. Les paramètres que vous pouvez exporter et importer incluent le nom du profil, les règles de corrélation, les mappages, les filtres, les critères d’agrégation, les traductions de champs, les exemples de données extraits, la planification et les informations sur la source des vignettes de configuration.
    Version 10.5.0 - Février 2021
    Nouveauté : ajout d’une aptitude à prendre en charge la logique composée pour les conditions de critères d’agrégation dans Splunk ES Integration. Par exemple, vous pouvez désormais utiliser plusieurs valeurs de champ correspondantes à l’aide d’une condition « OU ».
    Version 10.4.0 - Octobre 2020
    • Changé:
      • Lorsqu’une règle de corrélation d’événements notables est désactivée ou inactive dans Splunk ES, les paramètres de profil (par exemple, les événements d’échantillon, les mappages) sont conservés. La règle doit être désélectionnée, remplacée et de nouveaux paramètres doivent être créés pour effacer les paramètres existants.
      • Les événements notables supprimés dans Splunk ES sont toujours exclus lors de l’ingestion d’événements sans filtrage supplémentaire requis.
      • Mise à jour du mécanisme d’interrogation des profils afin de créer une fenêtre de chevauchement entre les interrogations successives afin de s’assurer qu’aucun événement notable n’est manqué dans un intervalle spécifique.
      • Lorsque deux champs Splunk ES ou plus sont mappés à un seul champ SIR, par exemple Description, et si une valeur du champ Splunk ES est NULL/vide, le champ SIR renseigne les valeurs de champ non NULL restantes.
    • Fixe:
      • Les événements notables seront ingérés même si la règle de corrélation comporte des caractères spéciaux, tels que des barres obliques inverses (\), des espaces supplémentaires à la fin du nom de la règle et d’autres caractères spéciaux (~ !@#$%^&*()_+{}[]" :;' ? ><,./|\).
    Version 10.0.2 - Mai 2020
    • Changé : le nom du champ « Source » dans le profil de type Transfert manuel d’événements est changé en « Valeur de champ source Splunk » pour le distinguer des autres champs sources du profil.
    • Fixe:
      • Optimisation des requêtes d’événements notables Splunk ES, y compris le regroupement de plusieurs requêtes de profil en une seule requête, afin de réduire la surcharge des performances sur le serveur source Splunk ES.
      • Les champs de date/heure de Splunk ES sont stockés au format UTC pour éviter les différences de fuseau horaire entre la source Spunk et l’instance ServiceNow.
      • Lorsqu’un profil est copié, les valeurs de configuration des paramètres supplémentaires sont également copiées avec tous les autres paramètres de configuration du profil.
    Version 9.1.0 - Janvier 2020
    • Nouveau :
      • Taille de la colonne Nom augmentée à 100
      • Lorsqu’un événement notable est transféré deux fois à partir de Splunk ES, aucun incident de sécurité en double n’est créé/événement agrégé à un incident de sécurité existant
      • Les utilisateurs peuvent créer un profil manuel avec la même source, en fonction de l’état Actif/Inactif du profil existant
      • Ajout d’une entrée de lien hypertexte d’événement notable dans les entrées de la liste connexe d’événements agrégés
      • Format de lien hypertexte par défaut pour le mappage des notes de travail
      • Le format de mappage prend en charge les nouvelles lignes lorsque plusieurs champs d’événements sont mappés à un seul champ d’incident
    • Corrigé : Localisation de l’info-bulle dans la section de mappage pour les icônes +,-,{}
    Version 9.0.4 - Novembre 2019
    • Nouveau :
      • Créez des profils pour créer des incidents SIR pour des types spécifiques d’événements notables avec les configurations suivantes :
        • Créez des profils d’alerte planifiée et de transfert manuel.
        • Mappez les événements notables de Spunk Enterprise Security aux champs SIR et prévisualisez-les avec des exemples de données.
        • Conditions de filtre et critères d’agrégation pour la création d’incidents SIR.
        • Récupération ponctuelle des événements des sept derniers jours.
        • Récupération en cours des événements avec un intervalle d’interrogation.
        • Événements notables : mises à jour de Splunk Enterprise Security lors de la création et de la fermeture de SIR.
        • Agrégation des événements en incidents SIR avec plusieurs CI et observables.
        • Modifiez le profil de transfert manuel d’événements notables afin d’utiliser la source au lieu du type de source pour le mappage des types d’événements.
        • Agrégation d’événements en incidents SIR lors du mappage du champ Splunk aux notes de travail et activation de la case à cocher Consigner les notes de travail pendant l’agrégation.