Zusätzliche Optionen für LogRhythm Alarme
Die LogRhythm Enterprise-Integration bietet Ihnen die Möglichkeit, die LogRhythm -Warnungen basierend auf den Security Incidents automatisch zu aktualisieren oder zu schließen.
Vorbereitungen
Erforderliche Rolle: sn_si.analyst
Warum und wann dieser Vorgang ausgeführt wird
Wenn Sie die Option Anfängliche Alarmaktualisierungen aktivieren, werden die Alarme in den LogRhythm-Kommentaren automatisch mit den ersten Alarmaktualisierungen aktualisiert. Wenn Sie analog dazu die Option „Aktualisierungen des Alarmabschlusses“ aktivieren, werden die Alarme in LogRhythm automatisch zusammen mit dem SIR-Abschlusscode und den Abschlusskommentaren geschlossen.
Die Alarm-ID LogRhythmNow Platform wird während des gesamten Lebenszyklus des Incident mit der ID des Security Incident [] verbunden. Diese Korrelation ermöglicht das gleichzeitige und automatisierte Schließen von Security Incidents/Alarmen. Wenn der Security Incident-Datensatz Security Incident Response (SIR) geschlossen wird, wird in der Warnung in der Webkonsole von LogRhythm ein Kommentar veröffentlicht. Dieser Kommentar gibt an, dass der Alarm basierend auf dem Abschluss des Security Incident Now Platform geschlossen wurde. Die Incident-Nummer und eine URL, die als Referenz auf den Security Incident verweist, sind auch im Kommentarbereich im LogRhythm -Alarm enthalten.
Prozedur
- Klicken Sie in der Fortschrittsleiste auf den Schritt Zusätzliche Optionen.
-
Um die automatisierte Alarmaktualisierung für die SIR-Incident-Erstellung zu verwenden, wählen Sie eine der folgenden Optionen aus, um den Alarmabruf zu konfigurieren.
Option Beschreibung LogRhythm-Alarme bei Erstellung des SIR-Incidents aktualisieren Der Standardwert ist deaktiviert. Wählen Sie diese Option aus, um die LogRhythm Alarme automatisch zu aktualisieren, wenn der SIR-Incident erstellt wird. Anfangskommentare, die an den LogRhythm-Alarm zurückgesendet werden Gibt die ersten Kommentare an, die für den Alarm LogRhythm veröffentlicht werden.
Bearbeiten Sie den Standardtext, der im Kommentarbereich angezeigt wird, indem Sie die Ersetzungsvariablen im Format ${field name}$ für ein beliebiges Feld im SIR-Incident-Formular hinzufügen oder ändern.
Beispiel: Der zugehörige ServiceNow-Security Incident ${Number}$ wurde erstellt und ${Assignment group}$ zugewiesen. Zusätzliche Details finden Sie im Security Incident hier – ${URL}$.
-
Um die automatisierte Alarmaktualisierung für den SIR-Incident-Abschluss zu verwenden, wählen Sie eine der folgenden Optionen aus, um den Alarmabruf zu konfigurieren.
Option Beschreibung LogRhythm-Alarme bei Abschluss des SIR-Incidents schließen Der Standardwert ist deaktiviert. Wählen Sie diese Option aus, um die LogRhythm Alarme automatisch zu schließen, wenn der SIR-Incident geschlossen wird. Abschlusskommentare, die an den LogRhythm-Alarm zurückgesendet werden Gibt die Abschlusskommentare an, die für den Alarm LogRhythm veröffentlicht werden.
Bearbeiten Sie den Standardtext, der im Kommentarbereich angezeigt wird, indem Sie die Ersetzungsvariablen im Format ${field name}$ für ein beliebiges Feld im SIR-Incident-Formular hinzufügen oder ändern.
Beispiel: Der zugehörige ServiceNow-Security Incident ${Number}$ wurde vom SOC-Analysten ${Geschlossen von}$ mit den folgenden Abschlussnotizen geschlossen: ${Abschlussnotizen}$. Zusätzliche Details finden Sie im Security Incident hier – ${URL}$.
- Klicken Sie auf Fertigstellen, um das Alarmprofil zu speichern.