기능 개선
- 소나 4.0 설치 호환성 개선, SSO 기능은 **Logpresso Sonar 5.0.2605.0** 버전 이상 필요
- okta-users 커맨드 output 필드(type, credentials, okta_profile) 추가
- okta-system-logs 커맨드 output 필드(device 정보) 추가
- device 관련 정보 파싱 안전성 개선
기능 수정 (이 버전은 **Logpresso Sonar 5.0.2605.0** 버전 이상 필요)
- provider 식별자 키 id에서 code로 변경
기능 개선 (이 버전은 **Logpresso Sonar 5.0.2603.0** 버전에서만 동작)
- Okta SAML 2.0 SSO 지원
파서 개선
- CEF 로그타입 6종 추가(EDR_ALERT_DETECT, EDR_INOUT_FLOW, APRM_AGENT_EVENT, APRM_PRIVACY_INFO_EVENT, APRM_PRIVACY_LEAKAGE_EVENT, APRM_PRINT_EVENT)
- JSON 로그타입 16종 추가(AGENT_CONNECTION_STATUS_EVENT, AGENT_EVENT, AGENT_HW_ALL, AGENT_INSTALL_PKG_EVENT, AGENT_SW_ALL, AGENT_TASK_STATUS, APM_AGENT_EVENT, APM_PATCH, APM_SW, AUDIT_EVENT, PATCH_UPDATE_EVENT, PKG_DIST_EVENT, SERVICE_EVENT, UPDATE_EVENT, V3_INTERNET, V3_SCAN, V3_SUP)
- MAC 주소 정규화 개선
- 시간값 처리 성능 개선
- log_string_args 배열 처리 추가
- 파일 경로 이스케이프 처리 개선
- 코드 맵핑류 타입 변환 오류 개선
쿼리명령어 개선
- 쿼리 명령어 추가 및 옵션 보완
- ahnlab-epp-query : 인터페이스 ID 기반 DB Query 조회 (신규)
- ahnlab-epp-nodes : `interface-id` 옵션 추가 (변경)
- ahnlab-epp-match-node : `interface-id` 옵션 추가 (변경)
- ahnlab-epp-search-file-result : `interface-id` 옵션 추가 및 에러 응답 처리 개선 (변경)
- 타임아웃 설정 추가
- 자원 정리 로직 개선
- 오류 처리 로깅 보완
스키마/모델/리소스 개선
- 신규 로그스키마 6종 추가 및 수집 모델 반영
- APrM 관련 로그 템플릿 추가
첫번째 릴리즈
- Cisco Secure Firewall Threat Defense 로그에 대한 전용 파서, 수집 모델 지원
- 지원하는 메시지:
- Severity2 (Critical): 106007, 106017
- Severity3 (Error): 106014 외 5종
- Severity4 (Warning): 113019 외 10종
- Severity5 (Notification): 109201 외 20종
- Severity6 (Info): 110002 외 30종
첫번째 릴리즈
- Cisco Firepower 로그에 대한 전용 파서, 수집 모델, 로그스키마 지원
기능개선
- U 2.1 모델의 block_log 로그유형에 대한 파싱 및 로그스키마 지원
- 수집모델 내 미분류 항목 추가
첫번째 릴리스
- 이벤트 피드 수집기 및 정규화 지원
기능 개선
- `RT_SCREEN_IP` 유형 로그 파싱 지원
- `JunOS 21` 버전 세션 차단 로그 파싱 지원
버그 수정
- session_id 필드 타입 수정 (문자열 → 64비트 정수)
- action 필드 값 대문자로 통일
기능개선
- 신규 시스로그 포맷 파싱 지원 (예: node=... srcip=... role=... sessionid=...)
- 정규화된 메시지 코드 추가
- ivanti-vpn-auth: `ADM20664`
- ivanti-vpn-tunnel: `NWC32001`
- `eprism-add-user-rule`, `eprism-delete-user-rule` 확장 명령어 추가
- 따옴표로 감싼 필드 값 파싱 오류 수정
기능개선
- DAG IP 관리 명령어 및 차단연동 기능 추가
- paloalto-ngfw-register-ip : 단건 IP 태그 등록 (차단)
- paloalto-ngfw-unregister-ip : 단건 IP 태그 해제
- paloalto-ngfw-registered-ips : 등록된 IP 목록 조회
- paloalto-ngfw-register-ip-batch : 입력 레코드 기반 IP 일괄 등록
- paloalto-ngfw-unregister-ip-batch : 입력 레코드 기반 IP 일괄 해제
- HTTP 프록시 설정 옵션 추가
기능개선
- 로그 파싱 시, 미정의 필드 처리 로직 개선
- 파서 성능 개선
field 함수 사용 시, 쿼리 실패현상 수정
첫번째 릴리스
- ADT캡스 출입보안 로그에 대한 로그스키마, JDBC수집모델 및 대시보드 지원
플로우 협업툴 연동 확장명령어 13종 추가
- flow-bots : 알림봇 목록 조회
- flow-departments : 부서 목록 조회
- flow-employees : 구성원 목록 조회
- flow-send-notification : 단건 알림 발송
- flow-send-notification-batch : 일괄 알림 발송
- flow-activate-employee : 구성원 활성화
- flow-activate-employee-batch : 일괄 구성원 활성화
- flow-deactivate-employee : 구성원 비활성화
- flow-deactivate-employee-batch : 일괄 구성원 비활성화
- flow-create-post : 게시글 등록
- flow-create-post-batch : 일괄 게시글 등록
- flow-create-task : 업무 등록
- flow-create-task-batch : 일괄 업무 등록
버그 해결
- sonar-clone-dashboards / sonar-clone-datasets / sonar-clone-widgets 명령어가 만든 사본이 앱 재설치 시 삭제되던 문제 수정
SentinelOne Application Risk 엔드포인트 필터 기능 추가
- 엔드포인트 이름, 엔드포인트 UUID
SentinelOne Cloud Funnel 로그 수집기 및 전용 UI 지원
- 신규 로그 스키마: sentinelone-application-endpoint, sentinelone-application-risk, sentinelone-cross-process-event, sentinelone-dns-event, sentinelone-file-event, sentinelone-group-event, sentinelone-indicator-event, sentinelone-login-event, sentinelone-process-event, sentinelone-registry-event, sentinelone-scheduled-task-event, sentinelone-session, sentinelone-threat, sentinelone-threat-notes, sentinelone-threat-timeline, sentinelone-vuln-event, sentinelone-webfilter
- 신규 쿼리 명령어: sentinelone-add-threat-note, sentinelone-app-cves, sentinelone-app-endpoints, sentinelone-app-risks, sentinelone-delete-threat-note, sentinelone-events, sentinelone-query, sentinelone-star-custom-rules, sentinelone-threat-notes, sentinelone-threat-timeline, sentinelone-threats, sentinelone-update-threat-note
WAF 로그 파서 수정
- **responseCodeSent** 필드 처리 오류 해결