Splunk Enterprise Security 統合リリースノート

  • リリースバージョン: Store
  • 更新日 2024年04月04日
  • 読む7読むのに数分

    • ServiceNow Store上のSecurity Operations Splunk Enterprise Security統合のバージョン履歴。

    重要:
    システム要件とファミリーの互換性の詳細については、ServiceNow Store Web サイトのアプリケーションリストを参照してください。

    バージョン履歴

    バージョン 12.0.12 - April 2024
    • 修正済み:
      • Splunk ES イベントの取り込みスケジュール設定済みスクリプトのアップグレードが安全になりました。
      • 大きなペイロードが取り込まれた場合の Splunk ES 統合処理の問題。
      • フィールド変換に関するいくつかの SplunkES エラー。
    バージョン 12.0.10 - November 2023
    • 変更: バックエンドライブラリのマイナーな改善。
    • 修正済み:Splunk ES IntegrationがSplunkで注目イベントの更新を取得しない。
    バージョン 12.0.6 - 2023 年 5 月
    修正済み:
    • Splunk ES の日付形式を dd-MM-YYYY に変更したときに、プロファイルのスケジュールページで 1 回限りの取得が機能しませんでした。
    • 影響を受けるユーザーアグリゲーションが Splunk ES で機能しません。
    • ServiceNow Security Operations Event Ingestion Addon for Splunk ES - インポートされたイベントは、[タスクに対する Splunk ES イベント] テーブルには表示されません。
    バージョン 12.0.5 - 2023 年 1 月
    Splunk ES イベントプロファイルの作成中のエラーに関連する軽微な修正。
    バージョン 12.0.4 - 2022 年 9 月
    • 修正済み:
      • Splunk サーバーのダウンタイム中に欠落している注目イベントを処理しました。
      • [Splunk ES イベントからタスク] テーブルでは、注目 ID のデータは 1 週間後にクリアされるため、注目 ID は別の列として保持されます。
      • SIR 作成の遅延を処理するために、スケジュール済みジョブのフェッチとポーリングは 2 つの異なるジョブに分割されます。
    バージョン 12.0.2 - 2022 年 6 月
    • 新規:
      • 次の新しいシステムプロパティが追加されました。
        • 区切り文字を公開します。
        • Splunk から受け取った各フィールドで解析する値の数を制限すること
        • Splunk からイベントを取得する際に追加する重複分数を定義します (Splunk からのインデックス作成遅延を克服するため)。
        • Splunk フィールド値が制限され、切り捨てられているかどうかを判断するヒントを末尾に追加しました。
    • 変更:
      • AngularJS ライブラリバージョンを更新しました。
      • Splunk ES プロファイルルールを変更しても、すべてのマッピングデータが消去されるわけではありません。
    • 修正済み:
      • [注目イベント] フィールドの値に特殊文字「$&」の組み合わせがある問題。
      • プロファイル内の観測事象/CI に対して M2M マッピングが実行されるときに空の SIR を作成する (SIR シーケンスをスキップします)。
      • プロファイルはイベントをプルしますが、取り込みタイプが [スケジュール済み] から [手動] に更新されます。
    バージョン 12.0.1 - 2022 年 3 月
    • 新規:
      • 次の新しいシステムプロパティが追加されました。
        • 区切り文字を公開します。
        • Splunk から受け取った各フィールドで解析する値の数を制限すること
        • Splunk からイベントを取得する際に追加する重複分数を定義します (Splunk からのインデックス作成遅延を克服するため)。
    • 変更: AngularJS ライブラリのバージョンを更新しました。
    • 修正済み:
      • 注目イベントフィールド値の特殊文字「&」の組み合わせに関する問題を修正しました。
      • プロファイル内の観測事象/CI に対して M2M マッピングが行われるときに空の SIR を作成する (SIR シーケンスをスキップします)。
      • プロファイルは、取り込みタイプが [スケジュール済み] から [手動] に更新されても、イベントをプルします。
    バージョン 12.0.0 - 2021 年 12 月
    • 新規:
      • Splunk ES 注目イベントの取り込みに対して有効なトークンベースの認証。
      • プロファイルの作成時にデフォルトの注目イベント参照リンクの URL を変更できるようになりました。これは、集計イベントのすべてのレコードを含む関連リストで使用されます。
    • 変更:
      • 1 つのプロファイルで複数の Splunk ES 相関ルールを選択できます。
      • 複数の Splunk ES 注目イベントフィールドを SIR インシデントの影響を受けるユーザーフィールド (関連リスト) にマッピングする機能。
      • 統合プロファイルセットアップのマッピングフェーズ中に、イベントフィールドをウォッチリストタイプフィールドにマッピングする機能。
      • イベントインポートテーブルのデフォルトの保持期間が 30 日間に変更されました。
      • プロファイルの動作を変更して、プロファイルが完了するまでアクティブ化されないようにしました。
    バージョン 11.0.0 - 2021 年 6 月
    新規:Splunk エンタープライズセキュリティプロファイル設定を、ある Now Platform インスタンスから別の Now Platform インスタンスにエクスポートおよびインポートできます。エクスポートおよびインポートできる設定には、プロファイル名、相関ルール、マッピング、フィルター、集計基準、フィールド変換、フェッチされたサンプルデータ、スケジュール、および構成タイルソース情報が含まれます。
    バージョン 10.5.0 - 2021 年 2 月
    新機能:Splunk ES 統合で集計基準条件の複合ロジックをサポートする機能が導入されました。たとえば、「OR」条件を使用して、複数の一致するフィールド値を使用できるようになりました。
    バージョン 10.4.0 - 2020 年 10 月
    • 変更:
      • Splunk ES で注目イベント相関ルールが無効または非アクティブになっている場合、プロファイル設定 (サンプルイベント、マッピングなど) は保持されます。既存の設定を消去するには、ルールの選択を解除して置き換え、新しい設定を作成する必要があります。
      • Splunk ES で抑制された注目イベントは、追加のフィルタリングを必要とせずに、イベントの取り込み中に常に除外されます。
      • プロファイルのポーリングメカニズムを更新して、連続するポーリング間に重複ウィンドウを作成し、特定の間隔内に注目イベントが見逃されないようにしました。
      • 2 つ以上の Splunk ES フィールドが単一の SIR フィールド (説明など) にマッピングされている場合、1 つの Splunk ES フィールド値が NULL/空の場合、SIR フィールドに残りの非 NULL フィールド値が入力されます。
    • 修正済み:
      • 相関ルールにバックスラッシュ (\)、ルール名の末尾の余分なスペース、その他の特殊文字 (~@#$%^&*()_+{}[]":;'?><,./|\).
    バージョン 10.0.2 - May 2020
    • 変更:手動イベント転送タイプのプロファイルの [ソース] フィールド名が、プロファイル内の他のソースフィールドと区別するために [Splunk ソースフィールド値] に変更されました。
    • 修正済み:
      • 複数のプロファイルクエリを単一のクエリにクラスタリングするなど、Splunk ES の注目イベントクエリを最適化し、Splunk ES ソースサーバーのパフォーマンスオーバーヘッドを削減しました。
      • Splunk ES の日付/時刻フィールドは、Spunk ソースと SeviceNow インスタンス間のタイムゾーンの不一致を避けるために UTC 形式で保存されます。
      • プロファイルがコピーされると、[追加設定] 構成値も他のすべてのプロファイル構成設定とともにコピーされます。
    バージョン 9.1.0 - 2020 年 1 月
    • 新規:
      • 名前列のサイズが 100 に増加しました
      • 注目イベントが Splunk ES から 2 回転送された場合、重複するセキュリティインシデントは作成されず、イベントは既存のセキュリティインシデントに集計されません
      • ユーザーは、既存のプロファイルのアクティブ/非アクティブステータスに応じて、同じソースで手動プロファイルを作成できます
      • 集計イベント関連リストエントリに注目イベントハイパーリンクエントリを追加しました
      • 作業メモマッピングのデフォルトのハイパーリンク形式
      • 複数のイベントフィールドが単一のインシデントフィールドにマッピングされている場合、マッピング形式で新しい行がサポートされます
    • 修正済み: +,-,{} アイコンのマッピングセクションのツールヒントのローカリゼーション
    バージョン 9.0.4 - 2019 年 11 月
    • 新規:
      • 次の構成で、特定のタイプの注目イベントに対して SIR インシデントを作成するためのプロファイルを作成します。
        • スケジュール済みアラートおよび手動転送プロファイルを作成します。
        • Spunk Enterprise Security の注目イベントを SIR フィールドにマッピングし、サンプルデータでプレビューします。
        • SIR インシデントを作成するためのフィルター条件と集計基準。
        • 過去 7 日間のイベントの 1 回限りの取得。
        • ポーリング間隔で進行中のイベントの取得。
        • SIR の作成およびクローズ中の Splunk Enterprise Security の注目イベントの更新。
        • 複数の CI と観測事象を含む SIR インシデントへのイベントの集計。
        • イベントタイプのマッピングにソースタイプではなくソースを使用するように、手動注目イベント転送プロファイルを変更します。
        • Splunk フィールドを作業メモにマッピングし、集計中に [作業メモをログ記録] チェックボックスをオンにした場合の、SIR インシデントへのイベントの集計。