Splunk 変更ログのRecorded Future

[バージョン 2.6.0] 2024年10月7日
注意: Python 2.7 はサポートされなくなりました。

改善点

• リスクリストは .csv ではなく KV ストアに保存されるようになりました
• オプションの KV ストア - アラートの取り込み。
• Threatハントのスケジュール機能。
• UI で継続的なキャッシュされた相関検索を無効にする機能。
• 相関検索のキャッシュが無効になっている場合にダッシュボードへのアクセス時に相関を実行する相関ダッシュボードの「ライブ モード」。
• Recorded Future - アラート ページに v3 アラートを表示します。
• 集合的な洞察は、検知時間ではなくイベント時間を保存します。
• 集合的な洞察は、関係において見られる「行動」を記録し始める。
  検知、つまりファイアウォールベースの許可/ブロックされたファイアウォール
  相関。
• アダプティブレスポンスとアプリのログファイルの統合。 エラーと
• トラブルシューティング ビューには警告が引き続き表示されます。

UIの改善

• Threatマップから直接脅威ハンティングを構成します。
• 設定ページの新しい UI。

[バージョン2.1.4]- 2023年6月12日

改善点

• 記録された将来のアラートに対するマルチ組織サポートが追加されました。アラート ルールとアラートには、どの組織がアラートを所有しているかが表示されるようになりました。 「所有者」のフィルタリング オプションを追加しました。
• アプリ内ドキュメントを追加しました

バグ修正

• distsearch.conf 内の正規表現のバグにより、リスクリストがクラスター環境のインデクサーに複製されていました。
• アダプティブ レスポンス エンリッチメントに関する Python2.7 の互換性の問題。
• Splunk イベントを JSON に変換する際のバグ
• 多数の呼び出しのタイムアウトが増加し、早期のタイムアウトが発生します。

[バージョン2.1.3]- 2023年3月22日

改善点

• 大規模なログ環境での相関設定のパフォーマンスが向上しました。
• 大規模なログ環境での Sigma セットアップのパフォーマンスが向上しました。
• 新しい「インフラストラクチャ監視」強化パネルに関するドキュメントを追加しました。
• 相関「検索文字列」オプションのアプリ内ドキュメントを改善しました

バグ修正

• 通知テキストが境界線の外側に切り取られることがあります。
• アプリ内相関関係のサブセットが見逃されるリスクがありました。
• リスクリストの同期に失敗したため、相関関係の設定が失敗し、誤ったエラー メッセージが表示されました。

[バージョン2.1.2]- 2023年2月13日

改善点

• アダプティブ レスポンスのアドホック呼び出しにより、Notable イベントが作成されるようになりました。
• 注目すべきイベントのタイトルをカスタマイズできるタイトルプレフィックスオプション。
• 通知の UI が改善されました。
• アプリをセットアップするためのクイックスタート ガイドを追加しました。
• 設定ページの保存ボタンを削除しました

バグ修正

• 複数値フィールドを含むイベントが、 make_json マクロが使用されました。
• ドロップダウンに以前の相関ビュー ID が表示されるバグを修正しました。
• Splunk 8 ではサポートされていないため、HTTPS プロキシ サポートは無効になっています。完全な HTTPS プロキシ サポートを利用するには、Splunk 9 にアップグレードしてください。

[バージョン2.1.1]- 2022年12月15日

改善点

• Splunk システム上でRecorded FutureのThreatチームからの Sigma 警戒ルールをセットアップします。
• キャッシュされた相関検索により、相関ビューの読み込み時間が大幅に短縮されます。
• このアプリの新機能を使用して、Splunk ESのリスクベースアラートを活用します。

バグ修正

• • app.manifestの問題を修正しました

[バージョン 2.0.8] - 2023年2月2日

バグ修正

• Splunk 8 のユーザーに HTTPS プロキシ設定の問題が発生しています。Splunk 8 は、HTTPS プロキシをサポートしていない urllib3 のバージョンを使用しており、設定に関係なく HTTP を使用します。完全な HTTPS プロキシ サポートを取得するには、Splunk 9 にアップグレードしてください。

• ユースケースがロードされていないセットアップによって移行が失敗するという、1.1 からの移行時のエッジケースを修正しました。

[バージョン 2.0.7] - 2023年1月17日

改善点

• アダプティブ レスポンスのアドホック呼び出しにより、Notable イベントが作成されるようになりました。
• 注目すべきイベントのタイトルをカスタマイズできるタイトルプレフィックスオプション。
• Recorded Futureアラート ルール ページの UI が更新されました。

[バージョン 2.0.5] - 2022年10月12日

バグ修正

[バージョン 2.0.4] - 2022年9月12日

改善点

• 多数の相関ユースケースが提供される構成ウィザードを使用して、カスタム相関ビューを作成します。
• 相関ダッシュボード（MITRE ATT&CKコード）の改善により、5種類のIOCに関する広範な情報を提供
• 6種類のIOCに関する広範な情報を提供するための、エンリッチメントダッシュボード（ Recorded Futureリンクデータ、MITRE ATT&CKコード）の改善
• Recorded Futureアラート ダッシュボードの簡単なセットアップ
• ピボット検索を使用すると、Recorded Future の API に対してフリーテキスト検索を実行し、対応するエンリッチメント ダッシュボードで結果を調べることができます。

注意: Splunk ES システムで実行する場合、アプリはシステムに Splunk ES がインストールされているかどうかを検出します。この場合、ES のサポートを有効または無効にできる追加の構成設定が表示されます。

Recorded Future for Splunk v1.x から v2.0+ にアップグレードする場合は、Recorded Future からの新しい API トークンが必要になります。新しいトークンを受け取るには、Recorded Future サポートにお問い合わせください。

[バージョン 1.1.9]- 2022年5月23日

バグ修正