Planen Sie LogRhythm -Alarme, und rufen Sie sie ab

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Nachdem Sie eine Vorschau des Security Incident mit den von Ihnen ausgewählten und zugeordneten Alarmen LogRhythm angezeigt haben, können Sie den Alarmabruf planen. Nachdem Sie diesen Schritt abgeschlossen haben, kann das Alarmprofil aktiviert werden.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zeitplanung ermöglicht Ihnen, die Zeitplanung und die für den Abruf ausgewählten Alarmtypen zu ändern. Sie filtern die von Ihnen erfassten Alarme basierend auf einem Datumsbereich oder bestimmten Alarm-IDs. Mit diesem Schritt bestimmen Sie, ob Sie historische Alarme erfassen möchten und wie oft Sie zukünftige Alarme abfragen, die der Alarmprofilkonfiguration entsprechen.

    Prozedur

    1. Klicken Sie in der Fortschrittsleiste auf den Schritt Zeitplan.
      „Zeitplan“ auf Fortschrittsbalken hervorgehoben.
    2. Wählen Sie aus den folgenden Optionen aus, um Ihren Alarmabruf zu konfigurieren.
      OptionBeschreibung
      Inkrementellen Alarmabruf aktivieren Standard ist ausgewählt. Wählen Sie diese Option aus, um inkrementelle Alarme abzurufen.
      Abfrageintervall (in Minuten)

      Die Instanz Now Platform ruft jede Minute neue Alarme aus der Client-Konsole LogRhythm ab. Wenn zugeordnete Alarme gefunden werden und Filterkriterien erfüllt sind, werden Security Incidents erstellt.

      Diese Einstellung kann geändert werden. Die Standardeinstellung gleicht jedoch die Alarmerfassung mit der Serverlast ab und ruft die aktuellsten Daten ab.
      Nächste Alarmerfassungszeit (geschätzt) Zeigt an, wann die nächste geplante Erfassung für das aktuelle Alarmprofil erfolgen würde. Dies ist nur eine geschätzte Zeit.
      Historischen Alarmabruf aktivieren Standard ist gelöscht. Es werden keine Verlaufsdaten abgerufen.
      Wenn diese Option ausgewählt ist, werden die folgenden Felder angezeigt. Wählen Sie eine Option aus, um den Abruf entweder nach Datum oder Alarm-ID zu konfigurieren.
      Abruf des Startdatums aktivieren
      Standard ist gelöscht. Wählen Sie diese Option aus, um das Abrufdatum zu aktivieren.
      Startdatum wird abgerufen
      Standard ist gelöscht. Wählen Sie diese Option aus, um das Startdatum für den Abruf festzulegen. Klicken Sie auf das Kalendersymbol, um ein Datum und eine Uhrzeit einzugeben. Alarme werden von dem von Ihnen eingegebenen Datum und der Uhrzeit bis zum aktuellen Datum abgerufen.
      Bestimmten Alarm erfassen – Alarm-ID(s)
      Standard ist gelöscht. Wählen Sie diese Option aus, um bestimmte Alarm-IDs zu erfassen.
      Alarm-ID(s)
      Geben Sie spezifische Alarm-IDs ein. Sie rufen die angegebenen Alarme ab, und Sie können mehrere durch Kommas getrennte Alarm-IDs eingeben.
      Hinweis:
      Nachdem ein historischer, einmaliger Abruf von Alarmen abgeschlossen wurde, wird dieses Kontrollkästchen deaktiviert. Sie müssen dieses Kontrollkästchen erneut aktivieren, bevor Sie einen weiteren einmaligen Abruf historischer Alarme ausführen.
    3. Führen Sie zum Bearbeiten des historischen Alarmabrufs die folgenden Schritte aus, um ein Datum für den Alarmabruf oder eine bestimmte Alarm-ID einzugeben.
      1. Wählen Sie Abrufen des Startdatums aktivierenund wählen Sie Startdatum abrufen.
      2. Klicken Sie im Feld Startdatum des Abrufs auf den angezeigten Kalender, wählen Sie das Datum und anschließend das grüne Häkchen aus, um Ihren Eintrag zu speichern.
        Aufgabe: Wählen Sie das Datum im Kalender aus, und speichern Sie es mit einem grünen Häkchen.
        Das Datum wird angezeigt.
      3. Alternativ können Sie die Option Bestimmte Alarm-ID(s) erfassen auswählen und im Feld AlarmID(s) die spezifischen Alarm-IDs für die Verlaufsdaten eingeben, um bestimmte Alarm-IDs abzurufen.

        Sie können bis zu fünf durch Kommas getrennte Alarme eingeben.

      4. Klicken Sie auf Aktualisieren.
    4. Wählen Sie eine der folgenden Optionen aus, um die Bearbeitung fortzusetzen oder die Konfiguration abzuschließen.
      OptionBeschreibung
      Aktualisieren Speichern Sie Ihre Daten, und bleiben Sie im Formular.
      Zusätzliche Optionen (in der Fortschrittsleiste) Um zum Schritt „Zusätzliche Optionen“ zu wechseln.
      Zurück Kehren Sie zum Schritt Vorschau zurück.
      Löschen Löschen Sie dieses Alarmprofil, und die Liste der Alarmprofile wird angezeigt.

    Nächste Maßnahme

    Nachdem Sie die Details für die kontinuierliche Alarmerfassung und den einmaligen Abruf konfiguriert haben, fahren Sie als Nächstes mit Zusätzliche Optionen für LogRhythm -Alarmefort.