Installer le module d’extension et configurer LogRhythm

Gestion de la sécurité Xanadu

Release

xanadu

ft:locale

fr-FR

ft:publication_title

Gestion de la sécurité Xanadu

ft:clusterId

security

bundleId

security

workflow

Technology

Installer le module d’extension et configurer LogRhythm

Rversion finale: Xanadu

Mis à jour 1 août 2024

3 minutes de lecture

Avant d’exécuter l’intégration sur votre instance, effectuez les étapes d’installation et de configuration afin que l’application s’intègre Opérations de sécuritéNow Platform®correctement au .

Avant de commencer

Rôle requis : administrateur

Remplissez la liste de vérification de configuration suivante avant l’installation. Ces tâches d’installation sont nécessaires pour une installation et une configuration fluides. La dernière LogRhythm version est 7.8 ou ultérieure.

Remarque :

Vos profils d’alarme existants ne seront plus pris en charge sur la dernière LogRhythm version, vous devez donc créer de nouveaux profils d’alarme et effectuer les configurations requises.


Tâche de configuration	Description
Vérifiez que vous avez affecté les rôles requis Now Platform® et Réponse aux incidents de sécurité (SIR).	Les rôles suivants sont requis pour l’installation, la configuration et la vérification des résultats attendus : L’administrateur système (admin) installe le module d’extension de l’application et affecte le rôle d’administrateur d’incident de sécurité (sn_si.admin). Le (sn_si.admin) supervise les tâches suivantes : Nomme, crée et modifie les profils d’alarme. Mappe et filtre les alarmes : identifie les alarmes spécifiques LogRhythm qui créent des incidents de sécurité et configure la façon dont ces champs d’alarme sont mappés à un Now Platform® incident de sécurité. Prévisualise l’exactitude des détails de l’incident de sécurité avant de finaliser la configuration. Ingère les alarmes historiques et planifie les alarmes extraites. Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst). Ce rôle a également accès au Opérations de sécurité module. L’analyste des incidents de sécurité (sn_si.analyst) répond aux incidents de sécurité créés en fonction des paramètres du profil d’alarme.
Procurez-vous un nom d’utilisateur et un mot de passe d’API et vérifiez que vous utilisez la LogRhythm version LogRhythm 7.8 ou une version ultérieure.	Visitez le site Web du produit pour plus d’informations sur les clés API et pour créer un compte : site Web de LogRhythm Enterprise. Les comptes utilisateur, les informations d’identification et les certificats doivent être configurés correctement avant l’installation de l’application. L’intégration nécessite la LogRhythm version 7.8 ou ultérieure et les LogRhythm API REST. Consultez Configurer l’API REST pour LogRhythm.
Vérifiez que vous avez installé et configuré un serveur MID.	Un serveur MID est requis dans votre Now Platform environnement. Consultez le site web de la documentation du produit ServiceNow pour plus d’informations sur l’installation et la configuration des serveurs MID.
Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant d’installer l’application pour l’intégration.	Pour la version Rome et les versions ultérieures de la famille, le module d’extension Réponse aux incidents de sécurité Dependency (com.snc.si_dep) est requis. Ce module d’extension installe automatiquement toutes les dépendances nécessaires à la prise en charge du Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration. Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si elle n’est pas installée, installez et activez une application à la fois dans l’ordre suivant pour assurer une installation fluide. Réponse aux incidents de sécurité Cadre de travail de Security Integration Security Support Common Orchestration de support de sécurité Pour en savoir plus sur la configuration de votre Now Platform instance pour l’intégration, consultez et .

Important :

Si vous rencontrez des problèmes de connectivité à la LogRhythm console cliente, reportez-vous à la Vérifier la connectivité pour LogRhythmsection .

Procédure

Si vous n’avez pas installé l’application pour l’intégration, consultez et suivez les étapes pour l’installer.
Une fois l’installation terminée, accédez à Intégrations > Configurations des intégrations et localisez la LogRhythm tuile.
Cliquez sur Configurer.
Cliquez sur le lien Nouvelle configuration .

Renseignez les champs suivants du formulaire :

Tableau 1. Configuration LogRhythm
Champ	Description
Nom	LogRhythm Nom du serveur, par exemple, `logrhythm-server-a`.
URL de base	URL de base hébergeant l’API LogRhythm REST. Le MID Server permet d’accéder au réseau où la console cliente LogRhythm est hébergée. Cette URL est l’endroit où le LogRhythm serveur est hébergé dans ce réseau. Cliquez sur l’icône de verrou à l’extrémité droite pour modifier le champ et saisissez le texte d’une URL, par exemple `https://logrhythm.secops-eng.com:8501/`.
Jeton d'API	Saisissez le jeton associé à votre API REST que vous avez créée sur la LogRhythm console cliente.
Déploiement sur site	Option permettant de sélectionner s’il s’agit d’un LogRhythm déploiement sur site.
Serveur MID	Serveur MID spécifique configuré dans votre environnement. Seuls les MID Server actifs qui ont été validés sont disponibles dans cette liste de choix.

La figure suivante est un exemple de formulaire rempli.

Un formulaire de configuration LogRhythm dûment rempli.

Cliquez sur Valider et enregistrer.
Une fois la validation terminée, un message s’affiche et la LogRhythm page Configurations est rechargée. L’étape suivante consiste à créer un profil d’alarme.

Que faire ensuite

Une fois que vous avez terminé la validation avec succès, l’étape suivante consiste à Création d’un profil d’alarme pour LogRhythm.