Vorschau des Security Incident mit zugeordneten LogRhythm Alarmwerten wird angezeigt
Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie den Feldern im Security Incident zugeordnet haben. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle kritischen LogRhythm -Alarmfelder zugeordnet haben, die im Security Incident angezeigt werden sollen.
Erforderliche Rolle: sn_si.admin.
Security Incident
Wenn die Vorschau des Security Incidents nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Vorschau.
Ein Beispiel für die Vorschau für den gesamten Security Incident Now Platform ist in den beiden folgenden Abbildungen dargestellt. Dieses Beispiel der Vorschau auf einen Security Incident ist mit den Feldern LogRhythm Alarme ausgefüllt, die dem Beispielalarm 13663 zugeordnet sind.
In der folgenden Abbildung sind die Felder Konfigurationselement, Betroffener Benutzer, Priorität, Zuweisungsgruppeund Kurzbeschreibung des Security Incidents ausgefüllt.
In der unteren Hälfte des Formulars „Security Incident“ wird das Beschreibungsfeld ausgefüllt. Im Abschnitt „Zugehörige Elemente“ sind die Felder Konfigurationselement, ErkennbaresElement und Arbeitsnotiz mit Werten gefüllt. Wenn mehrere Werte für diese Felder zugeordnet sind, wird jeder Wert im Security Incident angezeigt, da jedes dieser Felder mehr als einen Wert akzeptieren kann.
Fehlerbedingungen in Vorschau
Die folgenden Warnmeldungen werden möglicherweise in der Vorschau auf den Security Incident angezeigt. Wenn ein Beispielalarm die Filterkriterien nicht erfüllt, wird der gesamte Security Incident nicht ausgefüllt.
Eingabewert nicht gefunden
Wenn die Alarm-ID in den Filterbedingungen enthalten ist, wird möglicherweise weiterhin eine Warnmeldung angezeigt, wenn für bestimmte zugeordnete Felder keine bestimmten Eingabewerte gefunden werden. Für das folgende Beispiel wird in der Vorschau des Datensatzes davon ausgegangen, dass das Feld Zugewiesen an keinen Wert enthält, obwohl es zugeordnet wurde.
Überprüfen Sie bei diesem Nachrichtentyp im Zuordnungsdatensatz, ob der Eingabewert korrekt ist. In diesem Fall ist die Person im Feld Zugewiesen an in Security Incident in der Instanz Now Platform falsch. Wenn dieser Alarm erfasst wird und einen Security Incident mit dieser Bedingung erstellt, werden Felder mit diesem Eingabewert (Abel Tuter) im Security Incident leer gelassen.
Die verbleibenden Nachrichten in Blau dienen nur zur Information und zeigen an, dass diese Felder keinen Wert zur Anzeige in der Vorschau haben. Mit dieser Vorschau kann der Security Incident-Administrator, der das Alarmprofil konfiguriert, überprüfen, ob diese Felder bei der ersten Erstellung keinen Wert haben dürfen, da Security Incident-Felder in bestimmten Fällen später automatisch ausgefüllt werden können. Andere Zuordnungsfehler werden ebenfalls angezeigt.
Wenn Sie mit der Zuordnung und der Vorschau des Security Incidents zufrieden sind, wählen Sie eine Option aus, um die Konfiguration fortzusetzen.
| Option | Beschreibung |
|---|---|
| Klicken Sie in der Fortschrittsleiste auf Fortfahren oder Zeitplanung. | Fahren Sie mit dem Formular „Zeitplanung und Alarmabruf“ fort. Auf dem Fortschrittsbalken ist„Zeitplanung und Alarmabruf“ ausgewählt. Der nächste Schritt besteht darin, den Alarmabruf zu planen. |
| Klicken Sie auf Zurück. | Kehren Sie zum Alarmprofil zurück, und setzen Sie die Zuordnung fort. |
| Geben Sie in der Auswahlliste Beispielalarm -ID oben im Vorschauformular eine andere Alarm-ID ein. | Die Auswahlliste Beispielalarm-ID wird für jede von Ihnen eingegebene Alarm-ID angezeigt. Sie können bis zu fünf Alarme auswählen. Mit dieser Option können Sie eine Vorschau einer anderen LogRhythm -Alarm-ID für einen Security Incident anzeigen. |
Nachdem Sie eine Vorschau des Security Incident angezeigt haben und mit den Ergebnissen zufrieden sind, gehen Sie als Nächstes auf Planen Sie LogRhythm -Alarme, und rufen Sie sie ab.