新
- 在微软Azure事件源中支持Exchange和Sharepoint审计日志:现在,当使用Microsoft Azure事件源导入这些应用程序时,这些应用程序的审计日志解析为云服务活动和云服务管理活动日志集。
改进的
“exploit”页面有一个新的设计:我们重新设计了资产和端点中的exploit页面,以提高性能和可读性。
IP地址表的新样式:我们更新了“资产详情”页面的“IP地址”页面和“IP地址”表。现在列已经正确排序,并且样式与其他已更新的InsightIDR表匹配。
SharePoint管理员现在被归类为云服务活动: SharePoint管理员曾经被标记为Office 365管理员。现在,SharePoint的站点管理操作被标记为普通的云服务活动。
固定
当出现tombstone错误时,删除未使用ip的选项现在是可见的。
我们去掉了为F5 LTM生成入口文档的期望。最初,F5 LTM被期望生成进入身份验证文档,但是我们发现日志线不能。这是因为这些日志线总是有一个内部IP地址。由于这些日志线从未实际生成入口文档,所以我们现在删除了解析这些日志线的功能。
我们已经将IDS事件的严重性与当前的Check Point文档相结合。例如“Check Point Severity 2”映射为“MEDIUM Severity”。
您现在将收到来自DNSQuery日志的web代理警报,而不是防火墙警报。添加了DNSQuery以提取url的顶级域和域。协议方案可以根据原始事件中的目的端口生成并附加到DNSQuery值的前面,并分配给url rawfield。
趋势科技深度安全IDS/IPS module事件将被解析为IDS事件,不再产生资产认证事件。