MCAFEE_EPO の変更ログ
| Date | 変更点 |
|---|---|
| 2023-10-15 | 機能拡張:
- 「product_name」が「MOVE AV Agentless」または「MSME」である handshake ログ。 |
| 2023-06-20 | 機能強化:
- xml ログを処理するための grok パターンを追加しました。 |
| 2023-01-02 | 機能強化 - 接頭辞付きの空の名前空間を削除する gsub を追加しました。 |
| 2022-12-16 | バグの修正 - 「is_DLPAGENT11600」を処理するコードブロックを追加しました。 - プロダクト名固有のコードブロックを追加しました。 - プリンシパルとターゲットの UDM フィールドが null の場合に、可能な限り「GENERIC_EVENT" を追加しました。 - normalized_ip_address が「principal.ip」にマッピングされました。 - 可能な限り normalized_mac_address が「principal.mac」にマッピングされました。 |
| 2022-09-14 | 機能拡張 - Key-Value ペア型のログ形式を処理することで、顧客固有のバージョンをデフォルトに統合しました。 - 「Content.ParentProcessFileName」の on_error チェックを提供しました。 |
| 2022-09-09 | 機能強化 - 以前削除されていた「Solidifier」タイプの解析されたログ。 - ログは CSV 形式で存在するため、特定の列に対して追加のマッピングが定義されています。 - 「column8」が「principal.hostname」にマッピングされました。 - 「column11」が「principal.mac」にマッピングされました。 - 「column25」が「target.process.file.full_path」にマッピングされました。 - 「column30」を「security_result.action」にマッピングしました。値が「deny」を含む場合は「BLOCK」にマッピングされ、それ以外の値の場合は「ALLOW」としてマッピングされます。 - 「metadata.event_type」を「STATUS_UPDATE」にマッピングしました。 |
| 2022-08-11 | バグの修正 -
- Analyzer のホスト名を intermediary.hostname に再マッピングしました。 - sys_host が observer.hostname に再マッピングされました。 |
| 2022-07-27 | 拡張 - 次のフィールドをマッピングしました。
- 「csv_mcafee_security.column4」を「principal.asset.first_seen_time」にマッピングしました。 |
| 2022-07-14 | 機能拡張 - 次のフィールドをマッピングしました:
- 「product_version」を「metadata.product_version」にマッピングしました。 - 「FileSHA1Hash」を「target.process.file.sha1」にマッピングしました。 - event_id 「35103」を処理するコードブロックを追加しました。 - 可能な限り、event_type を「GENERIC_EVENT" から「STATUS_UPDATE」に変更しました。 |
| 2022-05-05 | 機能拡張 - 次のフィールドをマッピングしました。 - SourceHostname を principal.hostname にマッピングしました。SourceHostname が null の場合、AnalyserHostname は principal.hostname にマッピングされます。 -observer.hostname の MachineName。 - AnalyserHostname から interval.hostname へ。 - IP ヘッダー csv 9 から principal.ip。 - IP ヘッダー csv 17 から target.ip。 - ThreatName ヘッダー csv 28 から security_result.threat_name へは一般的に、すべて。 |
| 2022-04-12 | ベンダー名の一般的な文字列を追加し、さまざまな商品名を汎用の値の文字列に置き換えました。 |