경보에 대한 LogRhythm 추가 옵션
LogRhythm 엔터프라이즈 통합을 사용하면 보안 인시던트에 따라 경보를 LogRhythm 자동으로 업데이트하거나 종결할 수 있습니다.
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
경보 초기 업데이트 옵션을 활성화하면 경보가 LogRhythm 주석에서 초기 경보 업데이트와 함께 자동으로 업데이트됩니다. 마찬가지로 경보 종결 업데이트 옵션을 활성화하면 경보가 SIR 종결 코드 및 종결 주석과 함께 LogRhythm에서 자동으로 종결됩니다.
LogRhythm 경보 ID는 인시던트의 수명주기 동안 보안 인시던트 ID에 Now Platform 연결됩니다. 이 상관관계를 통해 동시에 자동화된 보안 인시던트/경보 종결이 발생할 수 있습니다. (SIR) 보안 인시던트 기록이 보안 인시던트 응답 종결되면 웹 콘솔의 경보에 설명이 게시됩니다LogRhythm. 이 설명은 보안 인시던트의 종결 Now Platform 에 따라 경보가 종결되었음을 나타냅니다. 인시던트 번호와 참조를 위해 보안 인시던트로 다시 연결되는 URL도 경보의 LogRhythm 설명 섹션에 포함됩니다.
프로시저
- 진행률 표시줄에서 추가 옵션 단계를 클릭합니다.
-
SIR 인시던트 생성에 자동화된 경보 업데이트를 사용하려면 다음 옵션 중에서 선택하여 경보 검색을 구성합니다.
옵션 설명 SIR 인시던트 작성 시 LogRhythm 경보 업데이트 기본값은 선택 취소되어 있습니다. SIR 인시던트가 생성될 때 경보를 LogRhythm 자동으로 업데이트하려면 이 옵션을 선택합니다. LogRhythm 경보에 다시 게시된 초기 설명 경보에 대해 LogRhythm 게시되는 초기 설명을 나타냅니다.
SIR 인시던트 양식의 필드에 $$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 코멘트 섹션에 표시되는 기본 텍스트를 편집합니다.
예를 들어 관련 ServiceNow 보안 인시던트 ${Number}$가 생성되어 ${Assignment group}$에 할당되었습니다. 자세한 내용은 ${URL}$에 있는 보안 인시던트에서 확인할 수 있습니다.
-
SIR 인시던트 종결에 자동화된 경보 업데이트를 사용하려면 다음 옵션 중에서 선택하여 경보 검색을 구성합니다.
옵션 설명 SIR 인시던트 종결 시 LogRhythm 경보 닫기 기본값은 선택 취소되어 있습니다. SIR 인시던트가 종결될 때 경보를 LogRhythm 자동으로 종결하려면 이 옵션을 선택합니다. LogRhythm 경보에 다시 게시된 종결 설명 경보에 대해 LogRhythm 게시된 종결 설명을 나타냅니다.
SIR 인시던트 양식의 필드에 $$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 코멘트 섹션에 표시되는 기본 텍스트를 편집합니다.
예를 들어, 관련 ServiceNow 보안 인시던트 ${Number}$는 SOC 분석가-${종결한 사람}$에 의해 종결 메모 - ${종결 메모}$와 함께 종결되었습니다. 자세한 내용은 ${URL}$에 있는 보안 인시던트에서 확인할 수 있습니다.
- 마침을 클릭하여 경보 프로파일을 저장합니다.