Splunk Enterprise Security notas de versão de integração

  • Versão de lançamento: Store
  • Atualizado 4 de abr. de 2024
  • 6 min. de leitura

    • Histórico de versões para a integração Operações de segurança Splunk Enterprise Security no ServiceNow Store.

    Importante:
    Para obter detalhes sobre os requisitos do sistema e a compatibilidade da família, consulte a lista de aplicativos no site ServiceNow Store.

    Histórico de versões

    Versão 12.0.12 - abril de 2024
    • Fixo:
      • O upgrade dos scripts programados de ingestão de eventos do Splunk ES tornou-se seguro.
      • Problemas de processamento da integração do Splunk ES quando cargas grandes são ingeridas.
      • Alguns erros de SplunkES em relação às traduções de campos.
    Versão 12.0.10 - novembro de 2023
    • Alterado: pequenas melhorias em nossas bibliotecas de back-end.
    • Corrigido: Splunk ES Integration não seleciona atualizações de eventos notáveis no Splunk.
    Versão 12.0.6 - maio de 2023
    Fixo:
    • A recuperação única não estava funcionando na página de programação do perfil quando mudamos o formato de data para dd-MM-YYYY para Splunk ES.
    • A agregação de usuários afetados não está funcionando no Splunk ES.
    • Complemento de ingestão de eventos das Operações de segurança da ServiceNow para Splunk ES — Os eventos importados não ficam visíveis na tabela "Eventos do Splunk ES para tarefas".
    Versão 12.0.5 - janeiro de 2023
    Pequenas correções relacionadas a erros durante a criação do perfil de eventos do Splunk ES.
    Versão 12.0.4 - setembro de 2022
    • Fixo:
      • Manipulou eventos notáveis ausentes durante o tempo de inatividade do servidor Splunk.
      • Na tabela Splunk ES Event to Task, o ID Notable é persistente como uma coluna separada, já que os dados do ID Notable são limpos após uma semana.
      • Para lidar com o atraso na criação do SIR, os trabalhos agendados de busca e pesquisa são divididos em dois trabalhos diferentes.
    Versão 12.0.2 - junho de 2022
    • Novo:
      • Adição de novas propriedades do sistema para o seguinte:
        • Para expor o caractere delimitador.
        • Limitar o número de valores a serem analisados em cada campo recebido do Splunk.
        • Definir o número de minutos de sobreposição a serem adicionados ao recuperar os eventos do Splunk (para superar o atraso de indexação do Splunk).
        • Adicionada uma dica no final para determinar se os valores do campo Splunk são limitados e truncados.
    • Alterado:
      • Versão da biblioteca AngularJS atualizada.
      • Modificar as regras de perfil do Splunk ES não apaga todos os dados de mapeamento.
    • Fixo:
      • O problema com a combinação de caracteres especiais '$&' nos valores do campo Evento Notável.
      • Criando SIR em branco (ignorando a sequência de SIR) quando o mapeamento M2M é realizado para observáveis/ICs no perfil.
      • O perfil extrai eventos, embora seja atualizado do tipo de ingestão Programado para Manual.
    Versão 12.0.1 - março de 2022
    • Novo:
      • Adição de nova propriedade do sistema para o seguinte:
        • Para expor o caractere delimitador.
        • Limitar o número de valores a serem analisados em cada campo recebido do Splunk.
        • Definir o número de minutos de sobreposição a serem adicionados ao recuperar os eventos do Splunk (para superar o atraso de indexação do Splunk).
    • Alterado: versão da biblioteca do AngularJS atualizada.
    • Fixo:
      • Corrigido o problema com a combinação de caracteres especiais "&" nos valores do campo de evento notável.
      • Criando SIR em branco (ignorando a sequência de SIR) quando o mapeamento de M2M é feito para observáveis/ICs no perfil.
      • O perfil extrai eventos embora seja atualizado do tipo de ingestão Programado para Manual.
    Versão 12.0.0 - dezembro de 2021
    • Novo:
      • Autenticação baseada em token habilitada para ingestão de eventos notáveis do Splunk ES.
      • Agora você pode modificar o URL do link de referência do evento notável padrão durante a criação do perfil. É usado em listas relacionadas que contêm todos os registros de eventos agregados.
    • Alterado:
      • Várias regras de correlação do Splunk ES podem ser selecionadas em um único perfil.
      • Capacidade de mapear vários campos de evento notáveis do Splunk ES para campos de usuário afetados (lista relacionada) no incidente de SIR.
      • Capacidade de mapear campos de evento para campos do tipo lista de observação durante a fase de mapeamento da configuração do perfil de integração.
      • Modificou a retenção padrão da tabela de importação de eventos para 30 dias.
      • Modificou o comportamento do perfil para impedir a ativação até que o perfil seja concluído.
    Versão 11.0.0 - junho de 2021
    Novo: você pode exportar e importar configurações de perfis de segurança do Splunk Enterprise de uma instância da Now Platform para uma instância diferente da Now Platform. As configurações que você pode exportar e importar incluem nome do perfil, regras de correlação, mapeamentos, filtros, critérios de agregação, traduções de campos, dados de amostra obtidos, programação e informações de origem do bloco de configuração.
    Versão 10.5.0 - fevereiro de 2021
    Novo: capacidade introduzida para oferecer suporte à lógica composta para condições de critérios de agregação na integração do Splunk ES. Por exemplo, agora você pode usar vários valores de campo correspondentes usando uma condição "OU".
    Versão 10.4.0 - outubro de 2020
    • Alterado:
      • Quando uma regra de correlação de eventos notáveis está desabilitada ou inativa no Splunk ES, as configurações de perfil (por exemplo, eventos de amostra, mapeamentos) são mantidas. A regra deve ser desmarcada, substituída e novas configurações criadas para apagar as configurações existentes.
      • Os eventos notáveis suprimidos no Splunk ES sempre serão excluídos durante a ingestão de eventos sem a necessidade de filtragem adicional.
      • Atualizado o mecanismo de pesquisa de perfis para criar uma janela de sobreposição entre pesquisas sucessivas para garantir que nenhum evento notável seja perdido em um intervalo específico.
      • Quando dois ou mais campos Splunk ES são mapeados para um único campo SIR, por exemplo, Descrição, e se um valor de campo Splunk ES for NULO/vazio, o campo SIR preencherá os valores de campo não NULO restantes.
    • Fixo:
      • Eventos notáveis serão ingeridos mesmo se a regra de correlação tiver caracteres especiais, como barra invertida (\), espaços extras no final do nome da regra e outros caracteres especiais (~!@#$%^&*()_+{} []“:;'?><,./|\).
    Versão 10.0.2 - maio de 2020
    • Alterado: o nome do campo "Origem" no perfil de tipo de encaminhamento manual de eventos foi alterado para "Valor do campo de origem do Splunk" para diferenciá-lo de outros campos de origem no perfil.
    • Fixo:
      • Consultas otimizadas de eventos notáveis do Splunk ES, incluindo o agrupamento de várias consultas de perfil em uma única consulta, para reduzir a sobrecarga de desempenho no servidor de origem do Splunk ES.
      • Os campos de data/hora do Splunk ES são armazenados no formato UTC para evitar discrepâncias de fuso horário entre a origem do Sunk e a instância do SeviceNow.
      • Quando um perfil é copiado, os valores de configuração das Configurações adicionais também são copiados junto com todas as outras definições de configuração do perfil.
    Versão 9.1.0 - janeiro de 2020
    • Novo:
      • Tamanho da coluna de nome aumentado para 100
      • Quando um evento notável for encaminhado duas vezes do Splunk ES, nenhum incidente de segurança duplicado será criado/evento agregado a um incidente de segurança existente
      • Os usuários podem criar um perfil manual com a mesma origem, dependendo do status Ativo/Inativo do perfil existente
      • Adicionada uma entrada de hiperlink de evento notável nas entradas da lista relacionada a eventos agregados
      • Formato de hiperlink padrão para mapeamento de anotação de trabalho
      • O formato de mapeamento oferecerá suporte a novas linhas quando vários campos de evento forem mapeados para um único campo de incidente
    • Corrigido: localização da dica da ferramenta na seção de mapeamento para ícones +, -,{}
    Versão 9.0.4 - novembro de 2019
    • Novo:
      • Crie perfis para criar incidentes de SIR para tipos específicos de eventos notáveis com as seguintes configurações:
        • Crie perfis de alerta programado e de encaminhamento manual.
        • Mapeie eventos notáveis de segurança do Sunk Enterprise para campos SIR e visualize-os com dados de amostra.
        • Condições de filtro e critérios de agregação para criação de incidentes de SIR.
        • Recuperação única de eventos dos últimos sete dias.
        • Recuperação contínua de eventos com um intervalo de pesquisa.
        • Atualizações de eventos notáveis na segurança do Splunk Enterprise durante a criação e o fechamento do SIR.
        • Agregação de eventos a incidentes SIR com vários ICs e observáveis.
        • Modifique o perfil de encaminhamento de eventos manuais notáveis para usar a origem em vez do tipo de origem para mapear tipos de evento.
        • Agregação de eventos para incidentes de SIR quando o campo de splunk é mapeado para anotações de trabalho e a caixa de seleção de registro de anotações de trabalho é marcada durante a agregação.