刚出现的
- 谷歌云平台事件源:我们添加了对Google云平台的支持,您可以使用该平台将警报类型解析为云服务和入口身份验证事件。查看文档
- 函数中的新LEQL:我们添加了一个新功能,允许您在长列表中搜索,而无需编写复杂的查询。比如说,不是写作
式中(a=v1或a=v2或a=v3或a=v4 a=v5),您现在可以使用其中(在[v1,v2,v3,v4,v5]中的a)
改进
- Cisco Meraki IDS日志:我们增加了对Cisco Meraki的IDS类型日志行的支持。如果配置了此事件源,现在将自动获取这些类型的文档。
- 检查点VPN登录日志行:我们添加了对检查点VPN登录日志行的替代格式的支持,该格式将生成入口身份验证文档。
- 日志和日志集的PUT操作:我们创建了一个API,允许您避免创建两个日志或日志集(如果已经存在一个具有相同名称和令牌的日志或日志集)。
- Azure安全中心第三方警报:Azure事件源现在除了当前支持的活动日志数据外,还支持连续导出Azure Security Center数据。InsightIDR为这两种日志格式生成第三方警报。您无需更新配置或数据源即可获得这些更改。
- CrowdStrike第三方警报:我们已更新CrowdStrike集成,以减少不必要的警报。我们现在只在收到CrowdStrike的DetectionSummary事件时生成第三方警报。对事件的补充更新不会生成其他第三方警报,但仍将在日志搜索中作为未分析事件提供。
固定的
- SharePoint中的站点管理员操作将不再导致关联用户被标记为Office 365管理员。这些操作现在被归类为普通云服务活动,而不是云服务管理活动。
- 我们修复了一个问题,以确保为Cisco ID生成正确的文档类型。
- 我们修复了资产详细信息页面上的一个问题,当您单击“更多”时,并非所有表都显示完整数据。
- 我们改进了“IP地址”页面和“资产详细信息”页面上的“IP地址”表,使列现在可以正确排序。
- Mimecast事件源现在可以处理位于收集器和Mimecast API之间的设备生成的错误。
- Cisco Umbrella和Amazon GuardDuty套接字关闭异常已显著减少。
- 在增强的端点遥测中,我们将父进程环境变量的字段名固定为parent_val。以前它被错误地设置为parentVal。
- 我们修复了一个问题,当用户在Okta中更改密码时,日志中的云活动管理事件被引发,以标记对InsightIDR的更改。这导致这些用户在InsightIDR中被标记为管理员。我们已经更改了此功能,以便密码重置事件现在可以创建云活动事件。如果您有任何用户被InsightIDR无意中标记,请与支持部门联系。