Splunk Enterprise Event Ingestion릴리스 정보용 보안 운영

  • 릴리스 버전: Store
  • 업데이트 날짜 2024년 11월 07일
  • 읽기6분

    • 의 애플리케이션에 대한 Splunk Enterprise Event Ingestion 버전 이력입니다ServiceNow Store.보안 운영

    중요사항:
    시스템 요구 사항과 제품군 호환성에 대한 자세한 내용은 ServiceNow Store 웹 사이트에서 애플리케이션 목록을 참조하십시오.

    버전 이력

    버전 11.3.1 - 2024년 11월
    • 변경됨: 검색 API를 v2 버전으로 변경했습니다.
    • 부정하게 결정된:
      • 수집하는 동안 간헐적으로 404 오류가 발생합니다.
      • Splunk 이벤트 프로파일과 연결된 경보 목록에 null 포인터 검사가 누락되어 경보 목록이 비어 있는 경우 NPE가 발생했습니다.
    버전 11.2.12 - 2024년 4월
    해결됨: SIR을 만드는 동안 대량의 Splunk 이벤트를 수집할 때 성능 문제가 발생합니다.
    버전 11.2.9 - 2024년 2월

    수정됨: 이제 Splunk 통합 페이로드 변수가 올바르게 처리됩니다.

    버전 11.2.6 - 2023년 11월
    변경됨: 백엔드 라이브러리에 대한 사소한 개선.
    버전 12.0.8 - 2023년 8월
    • 변경됨: 이제 주목할 만한 이벤트 필드를 특정 옵저버블 유형에 매핑할 수 있습니다.
    • 부정하게 결정된:
      • Splunk ES 통합에서 MID 서버가 다운된 경우 주목 항목을 끌어오지 않습니다.
      • SIR 모듈에 대한 Splunk ES 통합은 문자열 크기 제한인 32MB를 초과하는 큰 페이로드 이벤트로 인해 주목할 만한 항목 수집을 중지했습니다.
      • 통합 변환 스크립트에 시간이 오래 걸리면 생성 후 SIR에 대한 업데이트가 무시됩니다.
    버전 12.0.8 - 2023년 8월
    • 변경됨: 이제 주목할 만한 이벤트 필드를 특정 옵저버블 유형에 매핑할 수 있습니다.
    • 부정하게 결정된:
      • Splunk ES 통합에서 MID 서버가 다운된 경우 주목 항목을 끌어오지 않습니다.
      • SIR 모듈에 대한 Splunk ES 통합은 문자열 크기 제한인 32MB를 초과하는 큰 페이로드 이벤트로 인해 주목할 만한 항목 수집을 중지했습니다.
      • 통합 변환 스크립트에 시간이 오래 걸리면 생성 후 SIR에 대한 업데이트가 무시됩니다.
    버전 12.0.7 - 2023년 7월
    수정됨: 이벤트 프로필을 생성하는 동안 '미리 보기' 섹션에서 오류가 발생합니다.
    버전 11.2.4 - 2023년 5월
    • 부정하게 결정된:
      • Splunk V2에 대해 날짜 형식을 dd-MM-YYYY로 변경할 때 프로파일의 예약 페이지에서 일회성 검색이 작동하지 않았습니다.
      • Splunk 이벤트 프로파일: 긴 필드 레이블은 200% 브라우저 확대/축소에서 다음 줄로 분할됩니다.
    버전 11.2.3 - 2023년 1월
    Splunk v2 이벤트 프로파일 생성 중 발생한 오류와 관련된 사소한 수정입니다.
    버전 11.2.2 - 2022년 9월
    수정됨: 현지화 텍스트가 수정되었습니다.
    버전 11.2.0 - 2022년 5월
    • 신규: 토큰 기반 인증 사용.
    • 부정하게 결정된:
      • 프로파일에서 옵저버블/CI에 대한 M2M 매핑을 수행하면 빈 SIR이 생성됩니다(SIR 시퀀스 건너뛰기).
      • 참조 필드가 있는 집계 문제를 해결했습니다.
    버전 11.1.0 - 2021년 12월
    • 변경:
      • 이벤트 임포트 테이블 기본 보존을 30일로 수정했습니다.
      • 프로파일이 완료될 때까지 활성화되지 않도록 프로파일 동작을 수정했습니다.
    • 부정하게 결정된:
      • Next Experience UI를 지원하기 위한 UI 수정 사항.
      • 큰 페이로드에 대한 Splunk 경보가 처리되지 않는 문제를 수정했습니다.
      • Splunk 값의 ($&) 문자로 인해 발생하는 무한 루프 문제를 해결했습니다.
    버전 10.6.0 - 2021년 6월
    • 신규:
      • 한 Now Platform 인스턴스에서 다른 Now Platform 인스턴스로 Splunk 엔터프라이즈 이벤트 수집 프로파일 설정을 익스포트하고 임포트할 수 있습니다. 익스포트하고 임포트할 수 있는 설정에는 프로파일 이름, 상관관계 규칙, 매핑, 필터, 집계 기준, 필드 번역, 가져온 샘플 데이터, 스케줄링 및 구성 타일 소스 정보가 포함됩니다.
      • Splunk의 소스 경보 규칙에 대한 이벤트를 추적할 수 있도록 새 매핑 필드인 Splunk 경보 이름이 추가되었습니다.
      • 이벤트 임포트 및 이벤트 작업 테이블 항목에 대한 왼쪽 탐색 메뉴를 추가했습니다.
      • 단일 필드에 여러 값이 포함되어 있으면 이러한 값이 구문 분석되어 SIR 인시던트 양식의 개별 필드 항목에 매핑됩니다. 예를 들어 소스 IP 주소, 자산 이름 또는 URL에는 복수의 옵저버블 필드 항목 또는 복수의 CI가 있을 수 있으며, 이러한 항목들은 SIR 인시던트 양식의 개별 필드 항목으로 구문 분석되고 매핑됩니다.
    • 부정하게 결정된:
      • 경보 이름에 쉼표(,)와 같은 특수 문자가 있으면 샘플 데이터 가져오기가 중단됩니다.
      • 여러 Splunk 소스가 구성된 경우 Splunk 프로파일이 연결되지 않는 경우가 있습니다.
    버전 10.6.0 - 2020년 11월
    • 신규:
      • 이제 단일 프로파일에서 유사한 여러 경보를 선택할 수 있습니다.
      • Splunk 이벤트 필드가 다중 값 필드에 매핑되고 집계된 이벤트 필드 값이 초기 트리거 이벤트와 다른 경우 추가된 값이 SIR 인시던트 필드에 추가됩니다. 이는 다음과 같이 일반적으로 매핑되는 다중 값 필드에 적용됩니다.
        • 옵저버블
        • 구성 항목
        • 영향을 받는 사용자
    • 수정됨: 사소한 버그 수정.
    버전 10.5.1 - 2020년 8월
    • 신규:
      • Splunk 엔터프라이즈 통합에서 경보를 수집할 때 Splunk 가속 데이터 모델 기능에 대한 지원이 구현되었습니다.
      • 사용자는 경보를 수집하기 위한 특정 Splunk 앱(핵심 "검색" 앱 포함)을 선택하여 프로필을 만들 수 있습니다.
    • 수정됨: 이벤트 프로파일의 이름을 변경하면 프로파일에 구성된 모든 필드 번역이 제거됩니다.
    버전 10.4.0 - 2020년 6월
    새로운 기능 (경보 필드 매핑 중에 사용되는) 필드 번역이 Global이 아닌 Profile Specific으로 수정되었습니다.
    버전 5.2.1 - 2020년 2월
    • 신규:
      • 통합 프로파일 설정의 매핑 단계에서 이벤트 필드를 감시 목록 유형 필드에 매핑하는 기능이 추가되었습니다.
      • 시스템 속성을 Splunk 통합 설정으로 이동함
      • 두 개의 프로파일은 동일한 경보 이름으로 활성화할 수 없습니다.
      • 초기 기본 프로파일이 비활성 상태인 경우 두 번째 기본 수동 프로파일을 생성하는 기능이 추가되었습니다.
      • 오류 메시지 - 샘플 경보가 없고, 트리거된 경보 쿼리에서 추출된 필드가 없으며, 일회성(이력) 이벤트 검색에 대한 날짜 선택이 잘못되었습니다.
      • 여러 이벤트 필드가 단일 인시던트 필드에 매핑될 때 새 라인을 지원하는 매핑 형식
      • Splunk ES 통합과 유사하게 텍스트를 래핑하는 긴 문자열을 처리하기 위해 입력 표현식의 매핑 필드를 확장하는 기능이 추가되었습니다.
      • 하위 범주 필드에 지원 매핑
      • Splunk 이벤트 프로파일의 이름 및 경보 목록 선택 열 크기 확장
    버전 5.1.1 - 2019년 12월
    • 부정하게 결정된:
      • 온프레미스를 선택한 경우 통합 구성 타일이 수정됨
      • 보안 인시던트에 대한 집계된 경보를 보안 분석가에게 표시
    버전 5.1.0 - 2019년 9월
    • 신규: Splunk 이벤트 프로파일에서 집계 기준으로 옵저버블
    • 부정하게 결정된:
      • Splunk 이벤트를 특수 문자가 있는 인시던트로 변환
      • Splunk에서 정확한 시간과 일치하도록 TimeStamp 변환
      • 페이지 매김을 사용하여 Splunk에서 모든 기록 끌어오기
      • 보안 인시던트 생성을 위한 필터링 논리가 수정되었습니다.
      • 잘못된 필드 값이 매핑된 경우의 정보 표시
      • 현지화가 켜져 있을 때 경보 선택을 수정했습니다.
    버전 5.0.2 - 2019년 4월
    • 여러 경보 수집 프로필을 생성하여 피싱 및 맬웨어와 같은 특정 유형의 위협에 대한 SIR 보안 인시던트를 생성합니다.
    • 콘솔에서 요청 시 이벤트 전달 Splunk 을 위한 여러 이벤트 프로파일을 생성하여 SIR 보안 인시던트 생성
    • 경보 및 이벤트 필드 값을 연관된 SIR 보안 인시던트 필드에 끌어서 놓기로 매핑 Splunk
    • 프로파일 구성을 확인하기 위한 샘플 경보 또는 이벤트를 기반으로 하는 SIR 보안 인시던트 레이아웃의 미리 보기
    • 구성 가능한 간격으로 과거 경보뿐만 아니라 진행 중인 미래 경보를 수집합니다
    • 중복 보안 인시던트를 방지하기 위해 일치하는 필드 값을 기준으로 이벤트 또는 경보를 기존 SIR 보안 인시던트에 집계합니다.