AUDITD の変更ログ
| Date | 変更点 |
|---|---|
| 2023-11-27 | 機能拡張:
- 「metadata.event_type」を「USER_LOGIN」に設定する前に、「principal_user_present」、「target_user_present」、「has_principal」のいずれかが true であることを確認する検証チェックを追加しました。 - 「metadata.event_type」を「USER_LOGOUT」に設定する前に、「principal_user_present」、「target_user_present」、「has_principal」のいずれかが true であることを確認する検証チェックを追加しました。 - 「metadata.event_type」を「USER_CREATION」に設定する前に、「principal_user_present」、「target_user_present」、「has_principal」のいずれかが true であることを確認する検証チェックを追加しました。 - 「metadata.event_type」を「USER_DELETION」に設定する前に、「principal_user_present」、「target_user_present」、「has_principal」のいずれかが true になっていることを確認する検証チェックを追加しました。 - 「metadata.event_type」を「USER_UNCATEGORIZED」に設定する前に、「principal_user_present」、「target_user_present」、「has_principal」のいずれかが true であることを確認する検証チェックを追加しました。 - 「metadata.event_type」を「USER_RESOURCE_ACCESS」に設定する前に、「principal_user_present」、「target_user_present」、「has_principal」のいずれかが true になっていることを確認する検証チェックを追加しました。 - 「metadata.event_type」を「USER_CHANGE_PERMISSIONS」に設定する前に、「principal_user_present」、「target_user_present」、「has_principal」のいずれかが true になっていることを確認する検証チェックを追加しました。 - ユーザーの詳細が存在し、プリンシパル マシンの詳細が存在しない場合、「metadata.event_type」のマッピングを「USER_CREATION」から「USER_UNCATEGORIZED」に変更しました。 - ユーザーの詳細が存在し、プリンシパル マシンの詳細が存在しない場合、「metadata.event_type」のマッピングを「USER_DELETION」から「USER_UNCATEGORIZED」に変更しました。 |
| 2023-09-06 | 機能拡張:
- 「CMD」のマッピングを「cron daemon(CROND)」の「target.process.command_line」に追加しました。 |
| 2023-06-20 | 機能拡張 - type="ADD_USER" および "DEL_USER" の場合、次のマッピングを追加または変更しました。
- 「uid」のマッピングを「target.user.userid」から「principal.user.userid」に変更しました。 - 「id」を「target.user.userid」にマッピングしました。 - 「ID」を「target.user.user_display_name」にマッピングしました。 - 「UID」のマッピングを「principal.user.userid」から「principal.user.user_display_name」に変更しました。 - 「acct」のマッピングを「principal.user.user_display_name」から「target.user.user_display_name」と「target.user.userid」に変更しました。 |
| 2023-06-09 | 機能拡張 - 「type=ADD_USER」の場合に、「event_type」を「USER_LOGIN」から「USER_CREATION」に変更しました。
|
| 2023-04-17 | 機能拡張
- JSON 構造を壊す「GS - グループ区切り文字」の文字を置き換える gsub 関数を追加しました。 |
| 2023-04-10 | 機能拡張
- 「gid」、「euid」、「egid」、「suid」、「fsuid」、「sgid」、「fsgid」、「tty」、「items」フィールドを security_result.detection_fields に追加しました。 - さらに、「gid」を「principal.user.group_identifiers」にマッピングしました。 - 「euid」を「target.user.userid」にマッピングしました。 - 「egid」を「target.user.group_identifiers」にマッピングしました。 |
| 2023-03-27 | 機能拡張 - ログを含む「jsonPayload」のサポートを追加しました。 |
| 2023-02-28 | バグの修正 - パーサーを強化して、16 進数でエンコードされた文字列を ASCII に変換できるようにしました。 |
| 2023-02-09 | 機能拡張 - 「type=PATH」を含むログの grok を変更して、ログから正しいホスト名を取得できるようにしました。
|
| 2023-01-24 | 機能拡張 - - eventType が「tac_plus」のログを解析しました。 - 異なる event_types である「NETWORK_CONNECTION」、「NETWORK_HTTP」、「USER_LOGIN」をマッピングするための条件を追加しました。 |
| 2022-12-02 | 機能拡張 - - 「user_name」を「principal.user.userid」にマッピングしました。 - 「dst_ip」、「dst_port」の条件付きチェックを追加しました。 |
| 2022-11-16 | 機能拡張 -
- 「アクセスログ」を含むログタイプの「GENERIC_EVENT」を「STATUS_UPDATE」に改善しました。 |
| 2022-10-31 | 機能拡張 - - パーサーを強化して、type=ADD_USER、USER_MGMT、DEL_USER でログを解析できるようにしました。 - 「principal_hostname」の null チェックを追加しました。 - 「principal.process.file.full_path」、「type_syscall_props.key」、「type_syscall_props.arch」、「msg2」の on_error チェックを追加しました。 - event_type="FILE_OPEN"、"USER_UNCATEGORIZED"、"STATUS_UPDATE"、"USER_DELETION" へのマッピングのための条件付きチェックを追加しました。 - 「principal_user_userid」を「principal.user.userid」にマッピングしました。 |
| 2022-10-14 | 機能拡張 -
- お客様のパーサーをデフォルトのパーサーに移行しました。 |
| 2022-10-13 | 機能拡張 - 「vendor_name」を「Linux」にマッピングしました。 - 「product_name」を「AuditD」にマッピングしました。 - 「ProxySG」を含むログを解析し、可能な場合「ip」を「target.ip」に、「port」を「target.port」にマッピングしました。 - 「event_type」を「GENERIC_EVENT」から「STATUS_UPDATE」に変更しました。 - 「intermediary.hostname」のマッピングを「principal.hostname」に変更しました。 |
| 2022-07-28 | 機能拡張 - - フィールド「auid」を about.user.userid にマッピングしました。 - フィールド「AUID」を「about.user.user_display_name」にマッピングしました。 - フィールド「proctitle」を「target.process.file.full_path」にマッピングしました。 - パーサーを強化して、type=DAEMON_END、CRYPTO_SESSION、CONFIG_CHANGE、PROCTITLE、USER_ERR、CRYPTO_KEY_USER のログを解析できるようにしました。 - laddr、addr、cipher、pfs、direction、acct、pid、ppid、cmd、exe、ses の条件付きチェックを追加しました。 |
| 2022-06-17 | 機能拡張 - 次のフィールドをマッピング/変更しました。
- 「auid」のマッピングを「security_result.about.user.userid」から「about.user.userid」に変更しました。 - type=SYSCALL の「event_type」を「SYSTEM_AUDIT_LOG_UNCATEGORIZED」から「USER_UNCATEGORIZED」に変更しました。 - 「success」を「security_result.summary」にマッピングしました。 - 「syscall」、「exit」、「tty」、「a0」、「a1」、「a2」、「a3」を「security_result.about.labels」にマッピングしました。 - ASCII 形式のログを破棄しました。 |
| 2022-06-14 | 機能拡張 - パーサーを強化して、USER_CMD タイプのログを解析できるようにしました。 - フィールド「cmd」を「principal.process.command_line」にマッピングしました。 - フィールド「ses」を「network.session_id」にマッピングしました。 - フィールド「res」を「security_result.action」と「security_result.action_details」にマッピングしました。 - フィールド「auid」と「cwd」を「security_result.detection_fields」にマッピングしました。 |
| 2022-04-26 | 機能拡張 - 未解析のログをすべて解析することで、解析の割合を増やしました。 |