LogRhythm -Alarme werden dem Security Incident zugeordnet
Nachdem Sie die Quelle LogRhythm ausgewählt haben, die Sie erfassen möchten, müssen Sie einzelne Alarmfelder LogRhythm den Security Incident-Feldern Now Platform zuordnen.
Die Zuordnung von Alarmen umfasst die folgenden Aufgaben:
- LogRhythm Alarme zuordnen. Für diese Aufgabe listen Sie Beispielalarme anhand der Alarm-IDs oder der neuesten Alarme aus der Client-Konsole LogRhythm auf und erfassen (Abruf).
- Die Felder „Beispielalarm“ sind in drei Gruppen unterteilt:
- Alarmfelder: Die verfügbaren Alarmfelder und ihre entsprechenden Werte werden angezeigt.
- Ereignisfelder: Die verfügbaren Ereignisfelder und ihre entsprechenden Werte werden angezeigt.
- DrillDownLog-Felder: Die verfügbaren Drilldown-Protokollfelder und ihre entsprechenden Werte werden angezeigt.
- Jede abgerufene Alarm-ID wird als Registerkarte angezeigt. Überprüfen Sie auf den Registerkarten „Alarm ID“, ob alle kritischen Alarmfelder aus dem Abschnitt „Erfassung des Alarmbeispiels“ auf der linken Seite des Formulars dem Abschnitt „SIR-Incident-Feldzuordnung“ auf der rechten Seite des Formulars zugeordnet sind.
- Nachdem Sie die Alarme dem Feld „SIR-Incident-Feldzuordnung“ zugeordnet haben, wird die Alarmkategorie auch im Feld „Eingabeausdruck“ angezeigt. Beispiel: ${Alarm: Alarmid}$.
- Sie können die -Konfiguration ändern, indem Sie im Security Incident Felder hinzufügen oder entfernen. Verfolgen Sie übersehene oder duplizierte Felder anhand der angegebenen Farbcodierung.
- Sie können Alarme filtern, um anzugeben, welche Alarme in der SIR-Anwendung erfasst werden. Sie können die Alarme entweder direkt filtern oder die Alarmkategorien verwenden, um Ihre Suche basierend auf Alarmen, Ereignissen oder DrillDownLogs aufzuschlüsseln.
- Verwenden Sie den Skript-Editor, wenn Sie Werte für die Felder Priorität und Kategorie im Security Incident formatieren möchten.
Der nächste Schritt führt Sie zu Ordnen Sie LogRhythm Alarmfelder Security Incident-Feldern zu.