Programmer et récupérer LogRhythm des alarmes

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Après avoir prévisualisé l’incident de sécurité avec les LogRhythm alarmes que vous avez sélectionnées et mappées, vous êtes prêt à planifier la récupération de l’alarme. Une fois que vous avez terminé cette étape, le profil d’alarme est prêt à être activé.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    La planification vous permet de modifier la planification et les types d’alarmes sélectionnés pour la récupération. Vous filtrez les alarmes que vous ingérez en fonction d’une plage de dates ou d’ID d’alarme spécifiques. Cette étape vous permet de déterminer si vous souhaitez ingérer des alarmes historiques et à quelle fréquence vous interrogez les alarmes futures qui correspondent à la configuration du profil d’alarme.

    Procédure

    1. Cliquez sur l’étape Planification dans la barre de progression.
      Planification mise en évidence sur la barre de progression.
    2. Choisissez parmi les options suivantes pour configurer votre récupération d’alarme.
      OptionDescription
      Activer la récupération d'alarme de pas Cette valeur est sélectionnée par défaut. Sélectionnez cette option pour récupérer les alarmes incrémentielles.
      Intervalle d’interrogation (en minutes)

      L’instance Now Platform extrait de la console cliente pour les LogRhythm nouvelles alarmes toutes les minutes. Si des alarmes mappées sont trouvées et que les critères de filtrage sont respectés, des incidents de sécurité sont créés.

      Ce paramètre peut être modifié, cependant, le paramètre par défaut équilibre l’ingestion d’alarme par rapport à la charge du serveur et récupère les données les plus récentes.
      Temps d'ingestion de la prochaine alerte (estimation) Affiche la date de la prochaine ingestion planifiée pour le profil d’alarme actuel. Il ne s’agit que d’une estimation.
      Activer la récupération d'alarme historique La valeur par défaut est effacée. Aucune donnée historique n’est extraite.
      Si cette option est sélectionnée, les champs suivants sont affichés. Choisissez-en un pour configurer la récupération soit par date, soit par ID d’alarme.
      Activer la date de début de l’extraction
      La valeur par défaut est effacée. Sélectionnez cette option pour activer la date d’extraction.
      Date de début de déclenchement
      La valeur par défaut est effacée. Sélectionnez cette option pour définir la date de début de déclenchement. Cliquez sur l’icône Calendrier pour entrer une date et une heure. Les alarmes sont extraites à partir de la date et de l’heure que vous entrez jusqu’à la date actuelle.
      Ingérer une alarme spécifique ID d’alarme
      La valeur par défaut est effacée. Sélectionnez cette option pour ingérer des ID d’alarme spécifiques.
      AlarmID(s)
      Entrez des ID d’alarme spécifiques. Vous extrayez les alarmes spécifiées et vous pouvez entrer plusieurs ID d’alarme séparés par des virgules.
      Remarque :
      Une fois qu’une extraction unique et historique d’alarmes est terminée, cette case n’est plus cochée. Vous devrez cocher à nouveau cette case avant d’exécuter une autre extraction ponctuelle d’alarmes historiques.
    3. Pour modifier la récupération d’alarme historique, procédez comme suit pour entrer une date de récupération d’alarme ou un ID d’alarme spécifique.
      1. Sélectionnez Activer la date de début d’extraction, puis sélectionnez Date de début d’extraction.
      2. Dans le champ Date de début d’extraction , cliquez sur le calendrier qui s’affiche, sélectionnez la date suivie de la coche verte pour enregistrer votre entrée.
        Tâche : Sélectionnez la date dans le calendrier et enregistrez-la avec la coche verte.
        La date s’affiche.
      3. Vous pouvez également sélectionner l’option Ingérer un ou plusieurs ID d’alarme spécifiques et, dans le champ AlarmID(s), saisir les ID d’alarme spécifiques pour les données historiques afin de récupérer des ID d’alarme spécifiques.

        Vous pouvez saisir jusqu’à cinq alarmes séparées par des virgules.

      4. Cliquez sur Mettre à jour.
    4. Choisissez l’une des options suivantes pour continuer à modifier ou terminer la configuration.
      OptionDescription
      Mettre à jour Enregistrez vos données et restez sur le formulaire.
      Options supplémentaires (dans la barre de progression) Pour accéder à l’étape Options supplémentaires.
      Précédent Revenir à l’étape d’aperçu.
      Supprimer Supprimez ce profil d’alarme et la liste des profils d’alarme s’affiche.

    Que faire ensuite

    Une fois que vous avez configuré les détails de l’ingestion d’alarme continue et de la récupération ponctuelle, l’étape suivante consiste à .Options supplémentaires pour LogRhythm les alarmes