Création d’un profil d’alarme pour LogRhythm

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Dans un profil d’alarme que vous créez et nommez, vous spécifiez les alarmes que vous souhaitez extraire de la LogRhythm console cliente. Vous définissez également la manière dont ils sont mappés aux champs d’un Now Platform incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    En fonction du profil d’alarme configuré, un profil d’alarme peut ingérer tous les types d’alarmes prêtes à l’emploi, mais vous pouvez utiliser des critères de filtre pour ingérer des types d’alarmes spécifiques. Grâce à cette Now Platform intégration, toutes les règles d’alarme configurées ou spécifiques en fonction du profil créé sont ingérées. Les règles d’alarme, telles que les alarmes de niveau de risque élevé, peuvent alors être filtrées pour spécifier quelles alarmes doivent créer des incidents de sécurité. Avant que les incidents de sécurité ne soient créés, les valeurs de champ individuelles des alarmes filtrées sont mappées aux champs correspondants de l’incident Now Platform de sécurité. Cette configuration s’effectue via un profil d’alarme au sein de votre Now Platform instance.

    Procédure

    1. Accédez à la Tout > Intégration de LogRhythm.
    2. Sélectionnez le module Profils d’alarme LogRhythm pour afficher la liste des profils d’alarme .
      Figure 1. Profil de l'alarme
      Créer un profil d’alarme
    3. Pour créer un profil d’alarme, cliquez sur Nouveau.
      Un nouveau formulaire de profil d’alarme s’affiche. En haut de la page, dans la barre de progression, le nom est sélectionné. Cette barre permet de suivre votre progression au cours de la configuration.
    4. Renseignez les champs du formulaire.
      Tableau 1. Profil de l'alarme
      Champ Description
      Nom Nom du profil de l’alarme. Ce nom vous aide à identifier les types d’alarmes tels que Accès non autorisé (VPN), Programme malveillant ou Hameçonnage.
      Description brève Texte court pour plus d’informations sur le profil d’alarme, qui peut inclure le type d’alarmes ou une catégorie d’alarme. Un exemple de description : Toutes les alarmes associées à des tentatives d’accès non autorisées à Powershell et Sudo.
      Source Serveur source dans la liste de choix. La liste se compose des LogRhythm configurations que vous avez déjà configurées, par exemple, logrhythm-server-a. Consultez Installer le module d’extension et configurer LogRhythm.
      Ordre

      Priorité du profil de l’alarme. Ce champ indique l’ordre dans lequel les profils d’alarme sont exécutés lorsque deux profils d’alarme ou plus partagent les conditions de déclenchement.
      Actif Par défaut, cette option n’est pas sélectionnée. Une fois que vous avez terminé toutes les étapes de configuration du profil d’alarme et cliqué sur Terminer, vous êtes invité à cocher cette case pour activer le profil d’alarme. Lorsque le profil d’alarme est actif, il extrait automatiquement les alarmes de la LogRhythm console cliente.
    5. Cliquez sur Continuer pour enregistrer vos données et accéder au formulaire de mappage.

      Si la validation est réussie, la page se recharge et le formulaire de mappage s’affiche. Vous ne pouvez pas procéder à la configuration tant que vous n’avez pas validé votre connexion et vos informations d’identification.