LogRhythm Alarme werden dem Security Incident zugeordnet
Nachdem Sie die Quelle LogRhythm ausgewählt haben, die Sie erfassen möchten, müssen Sie einzelne LogRhythm Alarmfelder den Security Incident-Feldern von Now Platform zuordnen.
Die Zuordnung von Alarmen umfasst die folgenden Aufgaben:
- Ordnen Sie LogRhythm Alarme zu. Für diese Aufgabe werden Beispielalarme anhand der Alarm-IDs oder der letzten Alarme aus der LogRhythm -Client-Konsole aufgelistet und erfasst (Abruf).
- Die Beispielalarmfelder sind in drei Gruppen unterteilt:
- Alarmfelder: Die verfügbaren Alarmfelder und ihre entsprechenden Werte werden angezeigt.
- Event-Felder: Die verfügbaren Event-Felder und ihre entsprechenden Werte werden angezeigt.
- DrillDownLog-Felder: Die verfügbaren Drilldown-Protokollfelder und ihre entsprechenden Werte werden angezeigt.
- Jede abgerufene Alarm-ID wird als Registerkarte angezeigt. Vergewissern Sie sich, dass auf den Registerkarten „Alarm ID“ (Alarm-ID) alle kritischen Alarmfelder aus dem Abschnitt „ Alarm Sample Ingestion “ (Erfassung von Alarmbeispielen) auf der linken Seite des Formulars dem Abschnitt „ SIR-Incident-Feldzuordnung “ auf der rechten Seite des Formulars zugeordnet sind.
- Nachdem Sie die Alarme dem Feld SIR-Incident-Feldzuordnung zugeordnet haben, wird die Alarmkategorie auch im Feld Eingabeausdruck angezeigt. Beispiel: ${Alarm: alarmid}$.
- Sie können die Konfiguration ändern, indem Sie Felder im Security Incident hinzufügen oder entfernen. Verfolgen Sie übersehene oder duplizierte Felder anhand der bereitgestellten Farbcodierung nach.
- Sie können Alarme filtern, um anzugeben, welche Alarme in die SIR-Anwendung erfasst werden. Sie können die Alarme entweder direkt filtern oder die Alarmkategorien verwenden, um Ihre Suche basierend auf Alarme, Events oder DrillDownLogs aufzuschlüsseln.
- Verwenden Sie den Skript-Editor, wenn Sie Werte für die Felder Priorität und Kategorie im Security Incident formatieren möchten.
Der nächste Schritt ist Ordnen Sie LogRhythm Alarmfelder Security Incident-Feldern zu.