기능 개선
- API 키 인증 실패 시 오류 표시 개선
- 배치 명령어 실행 시 접속 프로파일 옵션을 선택 사양으로 변경
소나 호환성 완화
- 실험실 앱 1.6.2510.0 버전 이상 필요 (log 커맨드 사용)
- **Logpresso Sonar 4.0.2502.0 버전 이상** 필요
#react2shell 태그 지원
- 실험실 앱 1.6.2510.0 버전 이상 필요 (log 커맨드 사용)
- **Logpresso Sonar 4.0.2507.0 버전 이상** 필요
단순 템플릿 변수 참조에 대한 #command_injection 오탐 제거
- **실험실 앱 1.6.2510.0 버전** 이상 필요 (log 커맨드 사용)
- **Logpresso Sonar 4.0.2507.0 버전 이상** 필요
비컨 트래픽 탐지 지원
- 실험실 앱 1.6.2510.0 버전 이상 필요 (log 커맨드 사용)
- ml-beaconing-connections 명령어 추가
- ml-beacon-sessions 명령어 추가
이 버전부터 **Logpresso Sonar 4.0.2507.0 버전 이상** 필요
첫번째 릴리스
* apivoid-check-domain
* apivoid-check-domain-batch
* apivoid-check-ip
* apivoid-check-ip-batch
* apivoid-domain-info
* apivoid-domain-info-batch
* apivoid-reverse-ip
탐지 시나리오 일부 수정
- 권한상승 취약점 공격 탐지: Exploit/Win.MagicLineX 예외 조건 추가
- 채굴 악성코드 탐지: 룰 이름 변경
- 피싱 탐지: 불필요한 예외 조건 첫번째 search 명령 제거
sonar sync 명령어 개선
- sonar-sync-employees 커맨드 locale 입력 추가
- dept_code 가 비어있을 경우 NPE 발생 오류 수정
- error 원인 표시 개선
개선 사항
- Elastic 로그 파서 성능 개선
주의 사항
- 1.4.2511.0 버전 미만에서 업그레이드 시 아래 과정 확인이 필요합니다.
- 기존 수집기를 '비활성화' → 앱 패치 적용 → 수집기 설정에서 인덱스 이름 복원 → 수집기 '활성화' 순서로 진행해야 정상적으로 증분 수집이 이뤄집니다.
첫번째 릴리스
- react2shell-scan-batch 쿼리 명령어 지원
기능 개선
- Controller_resource 및 Sensor_resource 로그 유형에서 `cpu_usage`, `mem_usage`, `disk_usage`, `temperature` 필드 소수점 값 지원
버그 수정
- Admin_log, Ha_log, Controller_log, Sensor_log 로그 유형에서 `msg` 필드에 쉼표(`,`)가 포함된 경우 파싱 실패 현상 수정
기타
- 일부 필드 소수점 지원에 따라 `블루맥스 WIPS 성능 로그스키마`의 `_usage 필드류`의 타입이 `64비트 실수형`으로 수정
기능 추가
* mat-threads 쿼리 명령어 추가 및 mat-build discard-ratio 옵션 지원
기능 추가
- Google Workspace 그룹 확장 명령어, 로그 스키마 추가
- Google Workspace 계정 확장 명령어에 group 옵션 추가
- Google Workspace 확장 명령어 플레이북 실행 지원 추가
구글 워크스페이스 드라이브 액티비티 수집기 패치
- 드라이브 액티비티 로그에 앱 속성을 추가하는 과정에서 빈 목록 응답에 대한 에러 처리 누락
- 앱 재설치 시 구글 워크스페이스 앱을 먼저 비활성화 한 후에 업그레이드 진행해주시기 바랍니다.
개선 내역
- 4건의 탐지 시나리오 내장
* 관리자 역할 지정 (T1098.003)
* 실행 파일 다운로드 (T1204.002)
* 허용된 도메인 추가 (T1562.007)
* 중지된 계정 복원 (T1078.004)
- 앱 재설치 시 구글 워크스페이스 앱을 먼저 비활성화 한 후에 업그레이드 진행해주시기 바랍니다.
개선 내역
- Google Drive 활동 로그 수집 시 originating_app_name 추가
- google-workspace-drive-apps, google-workspace-drive-app 확장 명령어 추가
- 앱 재설치 시 구글 워크스페이스 앱을 먼저 비활성화 한 후에 업그레이드 진행해주시기 바랍니다.
도메인 위임 시 아래 scope를 추가 설정해야 합니다.
* https://www.googleapis.com/auth/drive.apps.readonly
기능 추가
- Google Chat 활동 로그 스키마, 수집 모델, 대시보드 추가 지원
- Google Workspace 대시보드에서 대시보드 패널의 시간 필터 지원
- 앱 재설치 시 구글 워크스페이스 앱을 먼저 비활성화 한 후에 업그레이드 진행해주시기 바랍니다.
버그 패치
- 구글 알림 센터 수집기가 동일 데이터를 반복 수집하는 문제 해결
- 구글 워크스페이스 계정 조회 시 100명으로 제한되던 문제 해결
- 앱 재설치 시 구글 워크스페이스 앱을 먼저 비활성화 한 후에 업그레이드 진행해주시기 바랍니다.
구글 알림 센터 지원 추가
- 피싱 메일, 알림 센터, 서비스 공지 대시보드 추가
- google-workspace-alerts 쿼리 명령어 추가
도메인 위임 시 아래 scope를 추가 설정해야 합니다.
- https://www.googleapis.com/auth/apps.alerts
MITRE ATT&CK TTP 탐지 시나리오 13종 추가