Como criar um perfil de alarme para LogRhythm

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Em um perfil de alarme que você cria e nomeia, você especifica quais alarmes deseja extrair do LogRhythm Console do cliente. Você também define como eles são mapeados para campos em um Now Platform incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Com base no perfil de alarme configurado, um perfil de alarme pode ingerir todos os tipos de alarmes prontos para uso, mas você pode usar critérios de filtro para ingerir tipos específicos de alarmes. Usando esta integração Now Platform, todas as regras de alarme configuradas ou específicas com base no perfil criado são ingeridas. Regras de alarme, como somente alarmes de nível de alto risco, podem ser filtradas para especificar quais alarmes devem criar incidentes de segurança. Antes que os incidentes de segurança sejam criados, os valores de campos individuais nos alarmes filtrados são mapeados para os campos correspondentes no incidente de segurança Now Platform. Esta configuração é feita por meio de um perfil de alarme em sua instância Now Platform.

    Procedimento

    1. Navegar até Todos > Integração com LogRhythm.
    2. Selecione o módulo Perfis de alarme da LogRhythm para exibir a lista Perfis de alarme.
      Figura 1. Perfil do Alarme
      Criar um perfil de alarme
    3. Para criar um novo perfil de alarme, clique em Novo.
      Um novo formulário de perfil de alarme é exibido. Na parte superior da página na barra de andamento, a opção Nome está selecionada. Esta barra rastreia seu andamento durante a configuração.
    4. No formulário, preencha os campos.
      Tabela 1. Perfil do Alarme
      Campo Descrição
      Nome Nome do perfil de alarme. Este nome ajuda a identificar os tipos de alarme, como acesso não autorizado (VPN), malwareou phishing.
      Descrição resumida Texto curto para informações adicionais sobre o perfil do alarme, que pode incluir o tipo de alarmes ou uma categoria de alarme. Uma descrição de exemplo: todos os alarmes associados a tentativas de acesso não autorizadas do Powershell e Sudo.
      Origem Servidor de origem na lista de seleção. A lista consiste em LogRhythm configurações que você já definiu, por exemplo, logrhythm-server-a. Consulte Instalar o plug-in e configurar LogRhythm.
      Ordem

      Prioridade do perfil de alarme. Este campo indica a ordem na qual os perfis de alarme são executados quando dois ou mais perfis de alarme compartilham as condições de acionamento.
      Ativo Por padrão, esta opção não está selecionada. Depois de concluir todas as etapas de configuração do perfil de alarme e clicar em Concluir, você será solicitado a marcar esta caixa de seleção para ativar o perfil de alarme. Quando o perfil de alarme está ativo, ele extrai alarmes do LogRhythm Console do cliente automaticamente.
    5. Clique em Continuar para salvar seus dados e prosseguir para o formulário Mapeamento.

      Se a validação for bem-sucedida, a página será recarregada e o formulário Mapeamento será exibido. Você não pode prosseguir com a configuração até ter validado com sucesso sua conexão e credenciais.