경보에 대한 LogRhythm 추가 옵션
엔터프라이즈 통합을 LogRhythm 통해 보안 인시던트에 따라 경보를 LogRhythm 자동으로 업데이트하거나 종결할 수 있습니다.
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
Alarm initial updates 옵션을 활성화하면 초기 알람 업데이트와 함께 LogRhythm 주석에서 알람이 자동으로 업데이트됩니다. 마찬가지로 알람 종결 업데이트 옵션을 활성화하면 SIR 종결 코드 및 종결 주석과 함께 LogRhythm에서 알람이 자동으로 닫힙니다.
LogRhythm 경보 ID는 인시던트의 수명주기 동안 보안 인시던트 ID와 연결 ServiceNow AI Platform 됩니다. 이 상관관계를 통해 보안 인시던트/경보가 동시에 자동으로 종결될 수 있습니다. (SIR) 보안 인시던트 기록이 보안 인시던트 응답 종결되면 웹 콘솔의 경보에 설명이 게시됩니다LogRhythm. 이 설명은 보안 인시던트의 ServiceNow AI Platform 종결에 따라 경보가 종결되었음을 나타냅니다. 인시던트 번호와 참조를 위해 보안 인시던트로 다시 연결되는 URL도 경보의 LogRhythm 설명 섹션에 포함됩니다.
프로시저
- 진행률 표시줄에서 추가 옵션 단계를 클릭합니다.
-
SIR 인시던트 생성에 자동화된 경보 업데이트를 사용하려면 다음 옵션 중에서 선택하여 경보 검색을 구성합니다.
옵션 설명 SIR 인시던트 작성 시 LogRhythm 경보 업데이트 기본값은 선택 취소되어 있습니다. SIR 인시던트가 생성될 때 경보를 LogRhythm 자동으로 업데이트하려면 이 옵션을 선택합니다. LogRhythm 경보에 다시 게시된 초기 설명 경보에 대해 게시된 초기 설명을 LogRhythm 나타냅니다.
SIR 인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 설명 섹션에 표시되는 기본 텍스트를 편집합니다.
예를 들어, 관련 ServiceNow 보안 인시던트 ${Number}$가 생성되어 ${Assignment group}$에 할당되었습니다. 자세한 내용은 ${URL}$에 있는 보안 인시던트에서 확인할 수 있습니다.
-
SIR 인시던트 종결에 자동 경보 업데이트를 사용하려면 다음 옵션 중에서 선택하여 경보 검색을 구성합니다.
옵션 설명 SIR 인시던트 종결 시 LogRhythm 경보 닫기 기본값은 선택 취소되어 있습니다. SIR 인시던트가 종결될 때 경보를 LogRhythm 자동으로 종결하려면 이 옵션을 선택합니다. LogRhythm 경보에 다시 게시된 종결 설명 경보에 대해 게시된 종결 설명을 LogRhythm 나타냅니다.
SIR 인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 설명 섹션에 표시되는 기본 텍스트를 편집합니다.
예를 들어, 관련 ServiceNow 보안 인시던트인 ${Number}$는 SOC Analyst-${Closed by}$에 의해 종결 처리 메모인 ${Close notes}$와 함께 종결되었습니다. 자세한 내용은 ${URL}$에 있는 보안 인시던트에서 확인할 수 있습니다.
- Finish(마침)를 클릭하여 알람 프로파일을 저장합니다.