Splunk Enterprise Event Ingestion pour Opérations de sécurité les notes de publication

  • Rversion finale: Store
  • Mis à jour 7 nov. 2024
  • 6 minutes de lecture

    • Historique des versions de l’application Splunk Enterprise Event Ingestion sur Opérations de sécurité le ServiceNow Store.

    Important :
    Pour plus d'informations sur la configuration système requise et la compatibilité des familles, consultez la liste des applications sur le site Web ServiceNow Store.

    Historique de version

    Version 11.3.1 - Novembre 2024
    • Changé : Changement de l’API de recherche en version v2.
    • Fixe:
      • Une erreur 404 intermittente pendant l’ingestion s’est produite.
      • La vérification du pointeur Null était manquante pour la liste d’alertes associée aux profils d’événements Splunk, ce qui provoquait un NPE au cas où la liste d’alertes serait vide.
    Version 11.2.12 - Avril 2024
    Correction : Problèmes de performances lors de la création de SIR, lorsqu’un grand volume d’événements Splunk sont ingérés.
    Version 11.2.9 - Février 2024

    Correction : Les variables de charge utile de Splunk Integration sont désormais traitées correctement.

    Version 11.2.6 - Novembre 2023
    Changé : Améliorations mineures de nos bibliothèques backend.
    Version 12.0.8 - Août 2023
    • Changé : Vous pouvez maintenant mapper les champs d’événement notable à des types d’observables spécifiques.
    • Fixe:
      • Les notables ne sont pas extraits si le serveur MID est en panne dans Splunk ES Integration.
      • L’intégration de Splunk ES pour le module SIR a cessé d’ingérer des notables en raison d’événements de charge utile volumineux dépassant la limite de taille de chaîne de 32 Mo.
      • Les mises à jour du SIR après la création ne sont pas prises en compte lorsque le script de transformation d’intégration prend beaucoup de temps.
    Version 12.0.8 - Août 2023
    • Changé : Vous pouvez maintenant mapper les champs d’événement notable à des types d’observables spécifiques.
    • Fixe:
      • Les notables ne sont pas extraits si le serveur MID est en panne dans Splunk ES Integration.
      • L’intégration de Splunk ES pour le module SIR a cessé d’ingérer des notables en raison d’événements de charge utile volumineux dépassant la limite de taille de chaîne de 32 Mo.
      • Les mises à jour du SIR après la création ne sont pas prises en compte lorsque le script de transformation d’intégration prend beaucoup de temps.
    Version 12.0.7 - Juillet 2023
    Correction : Erreurs dans la section « Aperçu » lors de la création d’un profil d’événement.
    Version 11.2.4 - Mai 2023
    • Fixe:
      • La récupération ponctuelle ne fonctionnait pas sur la page de planification du profil lorsque nous changeons le format de date en jj-MM-AAAA pour Splunk V2.
      • Profils d’événements Splunk : les étiquettes de champs longues sont divisées en la ligne suivante avec un zoom du navigateur de 200 %.
    Version 11.2.3 - Janvier 2023
    Corrections mineures liées à des erreurs lors de la création du profil d’événement Splunk v2.
    Version 11.2.2 - Septembre 2022
    Corrigé : Correction du texte de localisation.
    Version 11.2.0 - Mai 2022
    • Nouveau : activation de l’authentification basée sur les jetons.
    • Fixe:
      • Lorsque vous effectuez un mappage M2M pour les observables/CI du profil, un SIR vide est créé (en ignorant la séquence SIR).
      • Correction du problème d’agrégation avec les champs de référence.
    Version 11.1.0 - Décembre 2021
    • Changé:
      • La conservation par défaut de la table d’importation d’événements a été modifiée à 30 jours.
      • Modification du comportement du profil pour empêcher l’activation tant que le profil n’est pas terminé.
    • Fixe:
      • Correctifs d’interface utilisateur pour prendre en charge l’interface utilisateur Next Experience.
      • Correction d’un problème où les alertes Splunk pour les charges utiles volumineuses n’étaient pas traitées.
      • Correction d’un problème avec une boucle infinie causée par des caractères ($&) dans la valeur Splunk.
    Version 10.6.0 - Juin 2021
    • Nouveau :
      • Vous pouvez exporter et importer les paramètres des profils d’ingestion d’événements d’entreprise Splunk d’une instance Now Platform vers une autre instance Now Platform. Les paramètres que vous pouvez exporter et importer incluent le nom du profil, les règles de corrélation, les mappages, les filtres, les critères d’agrégation, les traductions de champs, les exemples de données extraits, la planification et les informations sur la source des vignettes de configuration.
      • Un nouveau champ de mappage Nom de l’alerte Splunk est ajouté afin que vous puissiez remonter à la règle d’alerte source dans Splunk.
      • Ajout de menus de navigation à gauche pour l’importation d’événements et les entrées de table d’événements à tâches.
      • Lorsqu’un seul champ contient plusieurs valeurs, celles-ci sont analysées et mappées aux entrées de champ individuelles du formulaire d’incident SIR. Par exemple, les adresses IP, les noms d’actifs ou les URL sources peuvent avoir plusieurs entrées de champ observables ou plusieurs CI, qui sont analysés et mappés à des entrées de champ individuelles sur le formulaire d’incident SIR.
    • Fixe:
      • L’extraction des données d’échantillon s’interrompt lorsqu’un nom d’alerte a un caractère spécial comme Virgule (,).
      • Il arrive que le profil Splunk ne se connecte pas lorsque plusieurs sources Splunk sont configurées.
    Version 10.6.0 - Novembre 2020
    • Nouveau :
      • Il est désormais possible de sélectionner plusieurs alertes similaires dans un seul profil.
      • Si un champ d’événement Splunk est mappé à un champ à valeurs multiples et que les valeurs de champ d’événement agrégées sont différentes de l’événement déclencheur initial. Les valeurs supplémentaires sont ajoutées au champ d’incident SIR. Cela s’applique aux champs à valeurs multiples couramment mappés, tels que les suivants :
        • Observables
        • Éléments de configuration
        • Utilisateurs affectés
    • Corrigé : Corrections de bugs mineurs.
    Version 10.5.1 - Août 2020
    • Nouveau :
      • Implémentation de la prise en charge de la fonctionnalité Splunk Accelerated Datamodel lors de l’ingestion d’alertes dans Splunk Enterprise Integration.
      • L’utilisateur peut créer des profils en sélectionnant des applications Splunk spécifiques (ainsi que l’application « Rechercher ») pour l’ingestion d’alertes.
    • Correction : Le fait de renommer un profil d’événement supprime toutes les traductions de champ configurées dans le profil.
    Version 10.4.0 - Juin 2020
    Nouveau : Les traductions de champs (qui sont utilisées pendant le mappage des champs d’alerte) ont été modifiées pour être spécifiques au profil au lieu de globales.
    Version 5.2.1 - Février 2020
    • Nouveau :
      • Ajout de la possibilité de mapper des champs d’événements à des champs de type liste de surveillance pendant la phase de mappage de la configuration du profil d’intégration
      • Propriétés système déplacées vers les paramètres d’intégration Splunk
      • Deux profils ne peuvent pas être actifs avec le même nom d’alerte
      • Ajout de la possibilité de créer un deuxième profil manuel par défaut si le profil par défaut initial est inactif
      • Messages d’erreur : il n’existe aucun échantillon d’alerte, aucun champ extrait dans les requêtes d’alerte déclenchées et sélection de date non valide pour la récupération d’événement ponctuelle (historique)
      • Format de mappage pour prendre en charge les nouvelles lignes lorsque plusieurs champs d’événements sont mappés à un seul champ d’incident
      • Ajout de la possibilité d’étendre les champs de mappage pour les expressions d’entrée afin de gérer les chaînes plus longues qui enveloppent le texte, comme pour l’intégration Splunk ES
      • Prise en charge du mappage au champ de sous-catégorie
      • Taille étendue de la colonne Nom et Liste d’alertes Sélection dans le profil d’événement Splunk
    Version 5.1.1 - Décembre 2019
    • Fixe:
      • Vignette Configuration d’intégration fixe lorsque l’option Sur site est sélectionnée
      • Afficher les alertes agrégées pour un incident de sécurité pour l’analyste de sécurité
    Version 5.1.0 - Septembre 2019
    • Nouveau : observables en tant que critères d’agrégation dans le profil d’événement Splunk
    • Fixe:
      • Conversion des événements Splunk en incidents avec des caractères spéciaux
      • Conversion de l’horodatage pour correspondre à l’heure correcte dans Splunk
      • Extraction de tous les enregistrements de Splunk à l’aide de la pagination
      • Correction de la logique de filtrage pour la création d’incidents de sécurité
      • Indication d’information quand une valeur de champ non valide est mappée
      • Correction de la sélection d’alerte lorsque la localisation est activée
    Version 5.0.2 - Avril 2019
    • Créer plusieurs profils d’ingestion d’alertes pour créer des incidents de sécurité SIR pour des types de menaces spécifiques tels que l’hameçonnage et les programmes malveillants
    • Créez plusieurs profils d’événements pour le transfert d’événements à la demande à partir de votre Splunk console afin de créer des incidents de sécurité SIR
    • Glisser-déposer le mappage des valeurs de champs d’alerte et d’événement Splunk vers les champs d’incident de sécurité SIR connexes
    • Aperçu de la mise en page de l’incident de sécurité SIR basé sur des échantillons d’alertes ou d’événements pour valider la configuration de profil
    • Ingérer des alertes historiques, ainsi que des alertes futures en cours à intervalles configurables
    • Regroupez les événements ou les alertes aux incidents de sécurité SIR existants en fonction des valeurs de champ correspondantes pour éviter les incidents de sécurité en double