첫번째 릴리스
- MITRE D3FEND 버전 1.3.0 (2025-12-16 00:12:00+0900)
기능 개선
- Tactics 14건 및 Techniques 691건 한국어 번역 추가
확장명령어 추가
- 블랙리스트 규칙 추가/조회/삭제
- 호스트 객체 추가/조회/수정/삭제
로그 스키마 22종 추가
- MF2 감사 (audit)
- MF2 클라우드 기반 악성 URL 통계 (app_cnt_cloud_url_block)
- MF2 데몬 상태 (mng_daemon)
- MF2 FTP 차단 통계 (app_cnt_ftp)
- MF2 HA 상태 (ha_status)
- MF2 HA 트래픽 (ha_traffic)
- MF2 인터페이스 트래픽 (mng_if_traffic)
- MF2 IPS DDOS 탐지 (ips_ddos_detect)
- MF2 NAT 정책별 트래픽 (nat_rule_traffic)
- MF2 NAT 트래픽 (nat_traffic)
- MF2 성능 (mng_resource)
- MF2 QoS 카운터 (mng_qos)
- MF2 정책별 트래픽 (fw4_rule_traffic)
- MF2 SSL 트래픽 (app_cnt_ssl4_traffic, app_cnt_ssl6_traffic)
- MF2 SSLVPN 트래픽 (sslvpn3_cnt_traffic)
- MF2 SSLVPN 터널별 접속 통계 (sslvpn3_cnt_tunnel)
- MF2 트래픽 (fw4_traffic, fw6_traffic)
- MF2 대역폭 초과 (mng_oversubscription)
- MF2 VPN 터널 수 카운터 (vpn_cnt_tunnel_use)
- MF2 웹클라이언트 컨텐츠 제한 (app_cnt_webclient_limit)
- MF2 웹클라이언트 트랜잭션 (app_cnt_webclient_all)
- MF2 웹필터 통계 (app_cnt_urlblock)
기타 변경 사항
- 미분류 수집모델 추가
- MF2 성능 대시보드 추가
첫번째 릴리스
- 전용 대시보드 및 17종 쿼리 명령어 지원
첫번째 릴리스
- MITRE ATT&CK Enterprise 18.1 버전 (2025-11-13)
- 확장 명령어 지원: mitre-attack-analytics, mitre-attack-data-sources, mitre-attack-campaigns, mitre-attack-detection-strategies, mitre-attack-softwares, mitre-attack-mitigations, mitre-attack-techniques, mitre-attack-groups, mitre-attack-data-components, mitre-attack-relations, mitre-attack-tactics
기능 개선
- WELF 형식 로그 파싱 지원
- 로그 스키마 필드 표시 이름 수정
- 신규 로그 스키마 7종 추가
- 블랙리스트 (fw4_blacklist)
- FQDN 관리 (fqdn_management)
- QoS 카운터 (qos_cnt)
- SSL VPN 클라이언트 프로파일 (sslvpn_client_resource)
- SSL VPN 터널 상태 (sslvpn_monitoring)
- SSL VPN 사용자인증 (sslvpn_user_auth)
- 웹 필터 (urlblock)
버그 해결
- 일부 확장 명령어의 쿼리 플랜이 정상적으로 표시되지 않는 문제 해결
- 대시보드 시간 필터가 적용되지 않는 문제 해결
**앱 설치 전, Bluemax NGF 내장 대시보드 삭제 후 앱 설치를 해야 대시보드 위젯의 로그 스키마 필드명이 정상적으로 보입니다.**
버그 해결
- 서브쿼리에서 log 쿼리 명령어 사용 시 NullPointerException 발생하는 문제
- 쿼리 최적화 앱으로 옮겨진 explain 명령어를 제거하여 쿼리 최적화 앱과 충돌하는 문제 해결
첫번째 릴리스
- rules-emerging-threats, rules-threat-hunting 항목
- 2026-01-05 6fe7343bf79306884b05837d5e03bcbcb141ce50 스냅샷
신규 로그 유형 파싱 및 스키마 추가
- 인증 기반 방어(auth_base_defense)
- 블랙리스트 차단(blacklist_block)
- HA 상태(ha_status_cnt)
Key-Value 형식 로그 파싱 지원 추가
접속 프로파일 타임아웃 옵션 추가
github-audit-logs 확장명령어 profile 옵션 추가
첫번째 릴리스
- 로그 파서, 로그 스키마 7종, 수집 모델 포함
슬랙 감사 로그 수집기 및 대시보드 추가
- Slack User OAuth Scope에 auditlogs:read 필수
슬랙 계정 대시보드 추가
- Slack User OAuth Scope에 users:read, users:read.email, team:read 필요
- users:read.email, team:read 미부여 시 이메일 및 팀 이름 null 출력
수집기 수집 기준 시간 옵션 추가
- 수집기 최초 실행 및 초기화 후 실행 시 수집 기준 시간부터 로그 조회
- 재실행 시엔 기존 수집 시간에 이어서 증분 수집
- 미입력 시, 현재 구독 설정 상 가장 오래된 로그를 조회
FCTI 대시보드 11장 추가
- 뉴스, 탐지분석, 위협 보고서, 보안권고문, 긴급 상황정보, 금융위원회 전파, IP 피드, URL 피드, 도메인 피드, MD5 피드, SHA256 피드
기능 개선
* splunk-search 명령어에 spl 옵션을 추가했습니다.
**1.5.2511.0에서 splunk-search SPL문 내부에 매개변수를 입력할 수 있었던 기능은 제거되었습니다. 대신 로그프레소 쿼리로 직접 문자열을 조립하여 splunk-search spl="..." 문법으로 사용할 수 있습니다.**
**해당 버전은 쿼리문에 매개변수 사용 시 의도와 다른 동작이 일어날 수 있으므로 1.5.2511.1 버전을 사용 바랍니다.**
변경내역
- 확장명령어 `splunk-search` 에서 SPL쿼리 내 변수 치환 기능 추가
첫번째 릴리스
- 경보, 업로드 필터, 상태점검, 통신, 감사 로그 유형 지원
- 전용 로그 파서, 로그 스키마, 수집 모델, 데이터셋, 대시보드, TTP 탐지 규칙 내장
개선사항
- 수집기 및 확장명령어에 원본 로그 추가 옵션 추가
- 오류 메시지 표기 수정
Activity 로그 관련 확장 명령어 및 수집기 원본 로그 포함 옵션 추가
- `google-workspace-admin-logs, google-workspace-drive-logs, google-workspace-login-logs, google-workspace-meet-logs, google-workspace-chat-logs` 명령어에 raw 옵션 추가
- 수집기 `원본 로그 포함 옵션` 추가
- 원본로그 포함 시, 원본 데이터가 line 필드에 JSON 문자열 형태로 포함됨
- 앱 재설치 시 구글 워크스페이스 앱을 먼저 비활성화 한 후에 업그레이드 진행해주시기 바랍니다.