Splunk Enterprise Event Ingestion for Security Operations リリースノート

  • リリースバージョン: Store
  • 更新日 2024年11月07日
  • 読む8読むのに数分

    • ServiceNow Store上のSecurity OperationsアプリケーションのSplunk Enterprise Event Ingestionのバージョン履歴。

    重要:
    システム要件とファミリーの互換性の詳細については、ServiceNow Store Web サイトのアプリケーションリストを参照してください。

    バージョン履歴

    バージョン 11.3.1 - 2024 年 11 月
    • 変更: Search API を v2 バージョンに変更しました。
    • 修正済み:
      • 取り込み中に断続的な 404 エラーが発生します。
      • Splunk イベントプロファイルに関連付けられたアラートリストに Null ポインターチェックがなかったため、アラートリストが空の場合に NPE が発生していました。
    バージョン 11.2.12 - April 2024
    修正済み:大量の Splunk イベントが取り込まれた場合の、SIR の作成中にパフォーマンスの問題がありました。
    バージョン 11.2.9 - 2024 年 2 月

    修正済み:Splunk Integration ペイロード変数が正しく処理されるようになりました。

    バージョン 11.2.6 - 2023 年 11 月
    変更: バックエンドライブラリのマイナーな改善。
    バージョン 12.0.8 - August 2023
    • 変更: 注目イベントフィールドを特定の観測事象タイプにマッピングできるようになりました。
    • 修正済み:
      • Splunk ES 統合で MID サーバーがダウンしている場合、注目はプルされません。
      • SIR モジュールの Splunk ES 統合では、大きなペイロードイベントが文字列サイズ制限の 32 MB を超えたため、注目イベントの取り込みが停止しました。
      • 統合変換スクリプトに時間がかかる場合、作成後の SIR の更新は無視されます。
    バージョン 12.0.8 - August 2023
    • 変更: 注目イベントフィールドを特定の観測事象タイプにマッピングできるようになりました。
    • 修正済み:
      • Splunk ES 統合で MID サーバーがダウンしている場合、注目はプルされません。
      • SIR モジュールの Splunk ES 統合では、大きなペイロードイベントが文字列サイズ制限の 32 MB を超えたため、注目イベントの取り込みが停止しました。
      • 統合変換スクリプトに時間がかかる場合、作成後の SIR の更新は無視されます。
    バージョン 12.0.7 - July 2023
    修正済み:イベントプロファイルの作成中に [プレビュー] セクションにエラーが表示されました。
    バージョン 11.2.4 - May 2023
    • 修正済み:
      • Splunk V2 の日付形式を dd-MM-YYYY に変更したときに、プロファイルのスケジュールページで 1 回限りの取得が機能しませんでした。
      • Splunk イベントプロファイル:長いフィールドラベルは、ブラウザーの 200% ズームで次の行に分割されます。
    バージョン 11.2.3 - January 2023
    Splunk v2 イベントプロファイルの作成中のエラーに関連する軽微な修正。
    バージョン 11.2.2 - 2022 年 9 月
    修正済み:ローカリゼーションテキストの修正。
    バージョン 11.2.0 - May 2022
    • 新規:トークンベースの認証を有効にしました。
    • 修正済み:
      • プロファイル内の観測事象/CI の M2M マッピングを実行すると、空の SIR が作成されます (SIR シーケンスはスキップされます)。
      • 参照フィールドを使用した集計の問題を修正しました。
    バージョン 11.1.0 - 2021 年 12 月
    • 変更:
      • イベントインポートテーブルのデフォルトの保持期間が 30 日間に変更されました。
      • プロファイルの動作を変更して、プロファイルが完了するまでアクティブ化されないようにしました。
    • 修正済み:
      • Next Experience UI をサポートするための UI の修正。
      • 大きなペイロードの Splunk アラートが処理されない問題を修正しました。
      • Splunk 値の ($&) 文字によって発生する無限ループの問題を修正しました。
    バージョン 10.6.0 - 2021 年 6 月
    • 新規:
      • Splunk エンタープライズイベントの取り込みプロファイル設定を、ある Now Platform インスタンスから別の Now Platform インスタンスにエクスポートおよびインポートできます。エクスポートおよびインポートできる設定には、プロファイル名、相関ルール、マッピング、フィルター、集計基準、フィールド変換、フェッチされたサンプルデータ、スケジュール、および構成タイルソース情報が含まれます。
      • 新しいマッピングフィールド [Splunk アラート名] が追加され、イベントを Splunk のソースアラートルールまで追跡できるようになりました。
      • [イベントインポート] と [イベントからタスクテーブルエントリ] の左側のナビゲーションメニューが追加されました。
      • 単一のフィールドに複数の値が含まれている場合、それらの値は解析され、SIR インシデントフォームの個々のフィールドエントリにマッピングされます。たとえば、ソース IP アドレス、資産名、または URL に複数の観測事象フィールドエントリまたは複数の CI がある場合、それらは解析され、SIR インシデントフォームの個々のフィールドエントリにマッピングされます。
    • 修正済み:
      • アラート名にカンマ (,) などの特殊文字が含まれていると、サンプルデータのフェッチが中断されます。
      • 複数の Splunk ソースが構成されている場合、Splunk プロファイルが接続されないことがあります。
    バージョン 10.6.0 - 2020 年 11 月
    • 新規:
      • 1 つのプロファイルで複数の類似のアラートを選択できるようになりました。
      • Splunk イベントフィールドが複数値フィールドにマッピングされており、集計されたイベントフィールド値が最初のトリガーイベントと異なる場合。追加の値が [SIR インシデント] フィールドに追加されます。これは、次のような一般的にマッピングされる複数値フィールドに適用されます。
        • 観察事項
        • 構成アイテム
        • 影響を受けるユーザー
    • 修正:軽微なバグ修正。
    バージョン 10.5.1 - 2020 年 8 月
    • 新規:
      • Splunk Enterprise Integration でアラートを取り込む際の Splunk Accelerated Datamodel 機能のサポートを実装しました。
      • ユーザーは、アラートを取り込むための特定の Splunk アプリ (およびコア「検索」アプリ) を選択してプロファイルを作成できます。
    • 修正済み:イベントプロファイルの名前を変更すると、プロファイルで構成されているすべてのフィールド変換が削除されます。
    バージョン 10.4.0 - 2020 年 6 月
    新規:フィールド翻訳 (アラート フィールドのマッピング中に使用される) が、グローバルではなくプロファイル固有になるように変更されました。
    バージョン 5.2.1 - 2020 年 2 月
    • 新規:
      • 統合プロファイルセットアップのマッピングフェーズ中に、イベントフィールドをウォッチリストタイプフィールドにマッピングする機能が追加されました
      • システムプロパティを Splunk Integration 設定に移動しました
      • 2 つのプロファイルを同じアラート名でアクティブにすることはできません
      • 最初のデフォルトプロファイルが非アクティブである場合に、2 番目のデフォルト手動プロファイルを作成する機能が追加されました
      • エラーメッセージ:サンプルアラートが存在せず、トリガーされたアラートクエリでフィールドが抽出されず、1 回限り (履歴) イベント取得で無効な日付が選択されます
      • 複数のイベントフィールドが単一のインシデントフィールドにマッピングされている場合に改行をサポートするマッピング形式
      • Splunk ES 統合と同様に、テキストを折り返す長い文字列を処理するために、入力式のマッピングフィールドを拡張する機能が追加されました
      • [サブカテゴリ] フィールドへのサポートのマッピング
      • Splunk イベントプロファイルの名前とアラートリストの選択列のサイズを拡張しました
    バージョン 5.1.1 - 2019 年 12 月
    • 修正済み:
      • オンプレミスが選択されている場合の [固定統合構成] タイル
      • セキュリティインシデントの集計済みアラートをセキュリティアナリストに表示する
    バージョン 5.1.0 - September 2019
    • 新規:Splunk イベントプロファイルのアグリゲーション基準としての観測事象
    • 修正済み:
      • Splunk イベントの特殊文字を含むインシデントへの変換
      • Splunk の正しい時刻に一致するように TimeStamp を変換
      • ページネーションを使用して Splunk からすべてのレコードをプルする
      • セキュリティインシデントを作成するためのフィルタリングロジックを修正
      • 無効なフィールド値がマッピングされたときに表示される情報
      • ローカリゼーションがオンのときのアラートの選択を修正
    バージョン 5.0.2 - 2019 年 4 月
    • 複数のアラート取り込みプロファイルを作成して、フィッシングやマルウェアなどの特定のタイプの脅威に対して SIR セキュリティインシデントを作成します
    • Splunk コンソールからオンデマンドイベント転送用の複数のイベントプロファイルを作成して、SIR セキュリティインシデントを作成します
    • 関連する SIR セキュリティインシデントフィールドへの Splunk アラートとイベントのフィールド値のマッピングのドラッグアンドドロップ
    • プロファイル構成を検証するためのサンプルアラートまたはイベントに基づく SIR セキュリティインシデントレイアウトのプレビュー
    • 構成可能な間隔で、履歴アラートと進行中の将来のアラートを取り込む
    • 一致するフィールド値に基づいて既存の SIR セキュリティインシデントにイベントまたはアラートを集計し、重複するセキュリティインシデントを回避します