Options supplémentaires pour LogRhythm les alarmes

Rversion finale: Australia

Mis à jour 12 mars 2026

2 minutes de lecture

L’intégration LogRhythm Enterprise vous offre la possibilité de mettre à jour ou de fermer automatiquement les LogRhythm alarmes en fonction des incidents de sécurité.

Avant de commencer

Rôle requis : sn_si.analyst

Pourquoi et quand exécuter cette tâche

Lorsque vous activez l’option Mises à jour initiales de l’alarme, les alarmes sont automatiquement mises à jour dans les commentaires LogRhythm avec les mises à jour initiales de l’alarme. De même, lorsque vous activez l’option de mise à jour de fermeture d’alarme, les alarmes sont automatiquement fermées dans LogRhythm ainsi que le code de fermeture SIR et les commentaires de fermeture.

L’ID LogRhythm d’alarme est lié à l’ID d’incident ServiceNow AI Platform de sécurité tout au long du cycle de vie de l’incident. Cette corrélation permet une fermeture simultanée et automatisée d’un incident de sécurité/d’une alarme. Lorsque l’enregistrement d’incident Réponse aux incidents de sécurité de sécurité (SIR) est fermé, un commentaire est publié dans l’alarme sur la LogRhythm console Web. Ce commentaire indique que l’alarme a été fermée en fonction de la fermeture de l’incident ServiceNow AI Platform de sécurité. Le numéro de l’incident et une URL qui renvoie à l’incident de sécurité à des fins de référence sont également inclus dans la section des commentaires de l’alarme LogRhythm .

Procédure

Cliquez sur l’étape Options supplémentaires dans la barre de progression.

Pour utiliser la mise à jour automatisée de l’alarme pour la création d’incidents SIR, choisissez l’une des options suivantes pour configurer votre récupération d’alarme.

Option	Description
Mettre à jour les alarmes LogRhythm lors de la création de l'incident SIR	La valeur par défaut est effacée. Sélectionnez cette option pour mettre à jour automatiquement les LogRhythm alarmes lors de la création de l’incident SIR.
Commentaires initiaux envoyés à l'alarme LogRhythm	Indique les commentaires initiaux publiés pour l’alarme LogRhythm . Modifiez le texte par défaut qui s’affiche dans la section des commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident SIR. Par exemple, `l’incident de sécurité ServiceNow associé, ${Number}$ a été créé et affecté à ${Assignment group}$. Des détails supplémentaires sont disponibles sur l’incident de sécurité situé ici : ${URL}$`.

Option

Description

Mettre à jour les alarmes LogRhythm lors de la création de l'incident SIR

La valeur par défaut est effacée. Sélectionnez cette option pour mettre à jour automatiquement les LogRhythm alarmes lors de la création de l’incident SIR.

Commentaires initiaux envoyés à l'alarme LogRhythm

Indique les commentaires initiaux publiés pour l’alarme LogRhythm .

Modifiez le texte par défaut qui s’affiche dans la section des commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident SIR.

Par exemple, l’incident de sécurité ServiceNow associé, ${Number}$ a été créé et affecté à ${Assignment group}$. Des détails supplémentaires sont disponibles sur l’incident de sécurité situé ici : ${URL}$.

Pour utiliser la mise à jour automatisée de l’alarme pour la fermeture de l’incident SIR, choisissez l’une des options suivantes pour configurer votre récupération d’alarme.

Option	Description
Fermer les alarmes LogRhythm lors de la fermeture de l'incident SIR	La valeur par défaut est effacée. Sélectionnez cette option pour fermer automatiquement les LogRhythm alarmes lorsque l’incident SIR est fermé.
Commentaires de fermeture envoyés à l'alarme LogRhythm	Indique les commentaires de fermeture publiés pour l’alarme LogRhythm . Modifiez le texte par défaut qui s’affiche dans la section des commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident SIR. Par exemple, `l’incident de sécurité ServiceNow associé, ${Number}$ a été fermé par l’analyste SOC-${Closed by}$ avec les notes de fermeture suivantes : ${Close notes}$. Des détails supplémentaires sont disponibles sur l’incident de sécurité situé ici : ${URL}$`.

Option

Description

Fermer les alarmes LogRhythm lors de la fermeture de l'incident SIR

La valeur par défaut est effacée. Sélectionnez cette option pour fermer automatiquement les LogRhythm alarmes lorsque l’incident SIR est fermé.

Commentaires de fermeture envoyés à l'alarme LogRhythm

Indique les commentaires de fermeture publiés pour l’alarme LogRhythm .

Par exemple, l’incident de sécurité ServiceNow associé, ${Number}$ a été fermé par l’analyste SOC-${Closed by}$ avec les notes de fermeture suivantes : ${Close notes}$. Des détails supplémentaires sont disponibles sur l’incident de sécurité situé ici : ${URL}$.

Cliquez sur Terminer pour enregistrer le profil de l’alarme.

Si vous ne voyez pas de notes indiquant que l’alarme s’est fermée avec succès dans l’incident de sécurité, consultez les notes de travail pour plus d’informations sur la procédure à suivre pour résoudre le problème. Vérifiez également la connexion de votre serveur. Si vous confirmez que l’incident de ServiceNow AI Platform sécurité a été fermé et que le serveur n’a pas expiré, vous devrez peut-être fermer manuellement l’alarme sur la LogRhythm console Web.