新
- 谷歌云平台事件源:我们已经添加了谷歌云平台的支持,你可以使用它来解析警报类型,如云服务和入口认证事件。查看文档
- 新的LEQL IN功能我们添加了一个新函数,允许你在很长的列表中搜索,而不需要编写复杂的查询。例如,代替写作
a=v1 OR a=v2 OR a=v3 OR a=v4 OR a=v5,您现在可以使用(在[v1、v2、v3 v4, v5))
改进的
- Cisco Meraki IDS日志:我们增加了对Cisco Meraki的IDS类型日志行的支持。如果您配置了这个事件源,您现在将自动获得这些类型的文档。
- 检查点VPN登录日志线:我们增加了对检查点VPN登录日志行的替代格式的支持,这将产生进入认证文档。
- PUT日志和日志集的操作:我们创建了一个API,允许您避免创建两个日志或日志集,如果一个日志集已经存在,具有相同的名称和令牌。
- Azure安全中心第三方警报:除了目前支持的活动日志数据,Azure事件源现在还支持持续导出Azure安全中心数据。InsightIDR为这两种日志格式生成第三方警报。您不需要更新配置或数据源来获得这些更改。
- CrowdStrike第三方提醒:我们更新了CrowdStrike集成,以减少不必要的警报。现在,只有当我们收到CrowdStrike的DetectionSummaryEvent时,我们才会生成第三方警告。对事件的补充更新将不会生成额外的第三方警报,但仍将作为未解析的事件在日志搜索中可用。
固定
- SharePoint的站点管理员操作将不再导致关联用户被标记为Office 365管理员。这些操作现在被归类为普通的云服务活动,而不是云服务管理活动。
- 我们修复了一个问题,以确保为Cisco IDS生成正确的文档类型。
- 我们修复了一个问题,在资产详情页面,不是所有的表格显示完整的数据,当你点击“更多”。
- 我们改进了IP地址页和IP地址表的资产详细信息页,列现在排序正确。
- Mimecast事件源现在可以处理由位于收集器和Mimecast api之间的设备生成的错误。
- Cisco Umbrella和Amazon GuardDuty插座关闭异常已经显著减少。
- 在Enhanced Endpoint Telemetry中,我们将父进程环境变量的字段名称固定为parent_val。以前它被错误地设置为parentVal。
- 我们修复了一个问题,当用户在Okta中更改他们的密码时,从日志中的云活动管理事件被引发来标记InsightIDR的更改。这导致这些用户在InsightIDR中被标记为admin。我们改变了这个功能,现在密码重置事件创建云活动事件。如果您有任何用户无意中被InsightIDR标记,请联系技术支持。