LogRhythm Übersicht

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Die Flexibilität bei der Zuordnung dieser Integration bietet Analysten Einblick in Ereignisse und zugehörige Alarmdaten, die zur weiteren Untersuchung und Behebung in Security Incidents Now Platform von integriert werden können.

    Alarmprofile werden in Ihrer Instanz Now Platform erstellt, um anzupassen, wie verschiedene LogRhythm -Alarmfelder für einen Now Platform -Security Incident angezeigt werden. Es wird eine Standardzuordnung von Alarmfeldern bereitgestellt, die bearbeitet werden kann, um kundenspezifische Anforderungen zu erfüllen.

    Die folgende Abbildung zeigt ein Beispiel für eine Kundenumgebung. Wenn ein Ereignis die Erstellung eines Security Incident in der Instanz Now Platform® auslöst, wird von Ihrer Instanz Now Platform® eine Anforderung gesendet, um Alarme aus der Clientkonsole LogRhythm entweder über einen MID-Server oder ohne diesen abzurufen.

    Der REST-API-Schlüssel wird von Now Platform® zur Authentifizierung bei der Clientkonsole LogRhythm verwendet. Über diese Verbindung kann Ihre Instanz Now Platform einzelne LogRhythm -Alarme basierend auf konfigurierten Profilen abrufen.

    Die REST API wird zum Sammeln von Nachrichtendetails verwendet, auf die die REST API nicht zugreift.

    Abbildung : 1. LogRhythm-Integration
    In einer Kundenumgebung

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden Schlüsselfunktionen:

    • Flexibilität zum Erstellen mehrerer Alarmprofile für verschiedene Alarmtypen wie Phishing und Malware.
    • Drag-and-Drop-Zuordnung von LogRhythm -Alarmfeldwerten zu zugehörigen SIR -Security-Incident-Feldern.
    • Eine Vorschau des SIR Security Incident-Layouts basierend auf LogRhythm Beispielalarmen.
    • Erfassung historischer Alarme und laufender zukünftiger Alarme in konfigurierbaren Intervallen.
    • Automatisiertes Schließen von LogRhythm -Alarmen nach Abschluss eines Incidents SIR von . Zur einfachen Referenz werden eine URL zum Incident SIR sowie eine Incident-ID bereitgestellt.

    Unterstützte Releases von Now Platform

    Diese Integration ist kompatibel mit den Releases Quebec oder höher von Now Platform®.

    Unterstützte Versionen von LogRhythm

    Diese Integration ist kompatibel mit LogRhythm  7.8 oder höher. Die früheren Versionen werden aufgrund von API-Einschränkungen nicht unterstützt.

    Hinweis:
    Die folgenden Themen sind nummeriert. Für eine reibungslose Installation und zur Überprüfung der erwarteten Ergebnisse führen Sie die Themen in der Reihenfolge aus, in der sie angezeigt werden.