Mapper LogRhythm les champs d’alarme aux champs d’incident de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Vous mappez les champs d’alarme individuels aux champs d’incident de sécurité. Le mappage préconfiguré peut être modifié et le code couleur fourni pour les champs vous aide à surveiller les alarmes que vous avez déjà mappées. Cette étape vous permet de visualiser l’impact de vos modifications sur les champs de l’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Si vous n’êtes pas familier avec les LogRhythm alarmes, accédez à la LogRhythm console client et passez en revue quelques exemples d’ID d’alarme. Pour l’exemple suivant, LogRhythm les alarmes 9468 et 9474 ont été utilisées pour mapper les alarmes à l’incident de sécurité.

    Pourquoi et quand exécuter cette tâche

    À l’aide de ce formulaire, vous mappez les LogRhythm règles d’alarme à gauche avec les champs d’incident de sécurité à droite.

    La figure suivante montre le mappage par défaut des alarmes qui est préconfiguré pour chaque profil d’alarme. Ce mappage par défaut est modifiable et, avec ce formulaire, vous personnalisez les champs qui renseignent l’incident de sécurité. Une fois ce mappage terminé, vous pouvez voir comment l’ajout ou la suppression de champs d’alarme peut avoir un impact sur les valeurs de champ de l’incident de sécurité.

    Sur le côté gauche de ce formulaire dans la figure suivante, les règles d’alarme LogRhythm sont décrites. Les valeurs de ces règles d’alarme sont mappées aux champs d’incident de sécurité sur le côté droit du formulaire.

    Procédure

    1. Après avoir créé un profil d’alarme pour LogRhythm, cliquez sur Mappage dans la barre de progression.
    2. Dans le champ Ingestion d’échantillon d’alarme , saisissez jusqu’à cinq ID d’alarme séparés LogRhythm par des virgules (9468,9474).
      Tâche : Entrez les alarmes à déclencher pour un profil d’alarme.
    3. À côté du champ d’alarme, cliquez sur Extraire les alarmes.

      L’extraction des échantillons d’alarmes peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.

      Une fois les exemples d’ID d’alarme envoyés et extraits avec succès du LogRhythm serveur, les champs d’alarme et leurs valeurs correspondantes sont affichés dans des onglets.
      Remarque :
      Une fois qu’un ID d’alarme est extrait avec succès, le ServiceNow AI Platform peut renvoyer le message suivant : Les nouveaux champs suivants seront disponibles pour le filtrage sous peu. Veuillez recharger ce profil dans quelques minutes si un filtrage basé sur ces champs est requis. itemspacketsin, itemspacketsout.

      Ce message se produit lorsque l’alarme unique qui a été déclenchée contient des noms de champs qui n’ont pas encore été traités par le ServiceNow AI Platform fichier . Ces champs sont disponibles pour le mappage, cependant, si ce message s’affiche, rechargez le formulaire afin que ces champs soient affichés et disponibles dans les listes de choix de filtres du générateur de conditions lorsque vous êtes prêt à définir les conditions de filtrage.

      L’ingestion de ces échantillons d’alarme dans la configuration du profil d’alarme vous permet d’éviter le mappage des champs d’alarme ne contenant aucune valeur à l’incident de sécurité. Elle aligne également les champs d’alarme sur les valeurs sur les champs appropriés dans l’incident de sécurité. Cette étape garantit que tous les champs d’alarme critiques sont mappés et qu’il n’y a aucune valeur de champ manquante sur l’incident de sécurité.

      Pour vous assurer qu’aucune alarme n’est négligée ou dupliquée dans le processus de mappage, les champs d’alarme sont codés par couleur. Un champ d’alarme bleu clair (Account, AlarmRuleID, AlarmStatus, entre autres) indique qu’aucun champ n’est encore sélectionné pour le mappage à un incident de sécurité.

      Un champ gris (AlarmDate, AlarmID et AlarmRuleName) indique qu’un champ a déjà été sélectionné et a été mappé à un champ de l’incident de sécurité. Ce code couleur vous aide à suivre le mappage, car dans certains cas, un champ d’alarme peut être mappé à plusieurs champs sur un incident de sécurité. Par exemple, les champs Observables et Note de travail peuvent avoir plusieurs valeurs.

    4. Pour effacer les données d’échantillon d’alarme, cliquez sur Effacer les données d’échantillon d’alarme.
    5. Pour modifier la configuration par défaut de l’incident de sécurité, procédez comme suit pour ajouter un champ :
      L’exemple illustre comment rechercher, ajouter un champ et le mapper.
      1. En bas à droite du formulaire, cliquez sur l’icône plus.
        Un nouveau champ s’affiche.
      2. Dans la colonne Incident de sécurité, sélectionnez un champ disponible dans la liste de choix.

        Dans la liste de choix développée, certains champs sont ombrés. Par exemple, une catégorie a un arrière-plan gris, ce qui indique qu’elle a été mappée dans l’incident de sécurité. Semblable au code couleur pour LogRhythm les champs d’alarme, ce code couleur pour les champs d’incident de sécurité garantit que les valeurs des champs d’alarme ne sont pas mappées par inadvertance sur le même champ d’incident de sécurité.

        Dans l’illustration ci-dessus, la règle d’alarme ${Alarm :classificationName}$ est déjà mappée au champ Catégorie dans l’incident de sécurité de ce profil.

        Remarque :
        Le champ Observable peut être mappé à plus d’un champ sur le même incident de sécurité afin que plusieurs observables puissent être affichés. De même, les champs Configuration Item (Élément de configuration ) et Work notes (Notes de travail ) peuvent être mappés pour afficher plusieurs valeurs.

        Du côté de l’ingestion d’échantillon d’alarme du formulaire, le bleu indique qu’un champ de règle d’alarme n’a pas été mappé. Le gris indique qu’il a été mappé. Dans la liste de choix du côté Mappage du champ d’incident SIR du formulaire, le blanc indique qu’un champ n’a pas été mappé. Le gris indique qu’un champ a été mappé. Utilisez ce code couleur pour vous aider à suivre votre mappage de champs.

        Dans l’illustration ci-dessus, l’utilisateur affecté a été sélectionné dans la liste de choix en tant que nouveau champ sur l’incident de sécurité.

      3. Dans la section Ingestion d’échantillon d’alarme sur le côté gauche du formulaire, cliquez avec le bouton gauche pour sélectionner l’ID d’alarme souhaité dans le champ expression d’entrée.

        Dans l’illustration ci-dessus, Login a été sélectionné.

      4. Faites-le glisser vers le champ effacé et relâchez-le.
        Dans la colonne de gauche de la section Mappage du champ d’incident SIR, la nouvelle valeur du champ Utilisateur affecté s’affiche. Dans ce cas, la valeur de connexion de l’alarme LogRhythm est affichée dans le champ Utilisateur affecté de l’incident de sécurité.
    6. Vous pouvez également saisir manuellement une valeur pour les champs de la colonne Expression d’entrée, placez votre curseur dans le champ d’expression d’entrée et entrez une valeur d’alarme souhaitée.

      Par exemple, dans l’illustration ci-dessus, un autre champ a été ajouté (groupe d’affectation) au formulaire d’incident de sécurité et l’affectation d’incident de sécurité a été saisie manuellement dans le champ.

    7. Continuez à modifier le mappage préconfiguré au besoin.
      Si vous devez convertir les valeurs des champs d’alarme LogRhythm en valeurs prises en charge par les champs de l’incident de sécurité, vous pouvez utiliser l’éditeur de script. Consultez Utiliser l’éditeur de script pour formater LogRhythm les valeurs.

    Que faire ensuite

    Une fois que vous avez terminé le mappage des champs, l’étape suivante consiste à Filtrer les alarmes pour LogRhythm.