Zusätzliche Konfigurationen für die LogRhythm -Integration
Verwenden Sie die LogRhythm Integrationseinstellungen, um die voreingestellten System- und Fehlerbehebungseigenschaften gemäß Ihren Anforderungen zu ändern.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Prozedur
- Navigieren zu Alle > LogRhythm Integration > LogRhythm-Integrationseinstellungen.
- Konfigurieren Sie die Systemeigenschaften gemäß Ihren Anforderungen.
-
Füllen Sie die Felder im Formular aus.
Tabelle : 1. LogRhythm Eigenschaften des Integrationssystems Feld Beschreibung Dadurch wird der Filter angewendet, bevor die Daten in ServiceNow-Tabellen gespeichert werden. Option, um zu bestimmen, ob Sie den Filter anwenden möchten, bevor die Daten in den ServiceNow-Tabellen gespeichert werden. Standardmäßig ist der Wert auf Ja festgelegt.
Max. Security Incident kann an einem Tag erstellt werden Option zum Definieren der maximalen Anzahl von Security Incidents, die an einem Tag erstellt werden können. Standardmäßig ist der Wert auf 2000 festgelegt.
LogRhythm Die regelmäßige Erfassung kann 1000+ Alarme umfassen, daher wird Paginierung verwendet, um die Alarme zu erfassen. Limit pro Seite, das zum Abrufen der Anzahl von Alarmen pro Seite zulässig ist. Option zum Definieren der maximalen Anzahl von Alarmen, die auf einer einzelnen Seite abgerufen werden sollen. Standardmäßig ist der Wert auf 100 festgelegt.
Löschen Sie Datensätze der Tabelle „Quelle für Aufgabe“, die älter als die angegebene Anzahl von Tagen sind. Option zum Löschen von Datensätzen der Tabelle „Quelle zu Aufgabe“, wenn die angegebene Anzahl von Tagen nicht eingehalten wurde. Standardmäßig ist der Wert auf 30 festgelegt.
- Konfigurieren Sie die Problembehandlungseigenschaften gemäß Ihren Anforderungen.
-
Füllen Sie die Felder im Formular aus.
Tabelle : 2. Problembehandlungseigenschaften für LogRhythm-Integration Feld Beschreibung Geplante Erfassung debuggen: Aktiviert Systemprotokolle auf Debug-Ebene für die Erfassung durch eine geplante Aufgabe. Dadurch werden alle Nachrichten/Ausnahmen protokolliert, die durch die geplante Erfassung beim Abrufen von Alarmen/Drilldown-Protokollen/Ereignissen aus LogRhythmgeneriert werden. Option zum Aktivieren von Systemprotokollen auf Debug-Ebene für die Erfassung durch die geplante Aufgabe. Standardmäßig ist der Wert auf Nein festgelegt.
Debug-Transformationszuordnung: Dies aktiviert Systemprotokolle auf Debug-Ebene für die Transformationszuordnung. Dadurch werden alle Nachrichten protokolliert, die von Transformationszuordnungen beim Erstellen eines Security Incident aus dem Alarmimport generiert wurden. Dadurch wurde auch die UI-Aktion in der Alarmimporttabelle aktiviert, um die Transformationszuordnung erneut auszuführen. Option zum Aktivieren von Systemprotokollen auf Debug-Ebene für die Transformationszuordnung. Standardmäßig ist der Wert auf Nein festgelegt.
Beispielerfassung in Alarmprofil debuggen: Aktiviert Systemprotokolle auf Debug-Ebene für die Beispielerfassung. Dadurch werden alle Nachrichten protokolliert, die während der Erfassung von Beispielen generiert werden. Option zum Aktivieren von Systemprotokollen auf Debug-Ebene für die Beispielerfassung. Standardmäßig ist der Wert auf Nein festgelegt.
Vorschau in Alarmprofil debuggen: Dies aktiviert Systemprotokolle auf Debug-Ebene für die Alarmprofilvorschau. Dadurch werden alle Meldungen protokolliert, die beim Rendern der Vorschau für den Beispielalarm generiert werden. Option zum Aktivieren von Systemprotokollen auf Debug-Ebene für die Alarmprofilvorschau. Standardmäßig ist der Wert auf Nein festgelegt.
Ausgehende REST-Aufrufe debuggen: Durch Aktivieren dieser Eigenschaft wird die Protokollierung auf Debug-Ebene in der Systemprotokolltabelle für alle REST-Aufrufe (Anforderung und Antwort) mit oder ohne MID-Server von LogRhythmermöglicht. Option zum Aktivieren der Protokollierung auf Debug-Ebene in der Systemprotokolltabelle für alle REST-Aufrufe mit oder ohne MID-Server von LogRhythm. Standardmäßig ist der Wert auf Nein festgelegt.
- Klicken Sie auf Speichern.