Création d’un profil d’alarme pour LogRhythm

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Dans un profil d’alarme que vous créez et nommez, vous spécifiez les alarmes que vous souhaitez extraire de la LogRhythm console cliente. Vous définissez également la façon dont ils sont mappés aux champs sur un Now Platform incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    En fonction du profil d’alarme configuré, un profil d’alarme peut intégrer tous les types d’alarmes prêtes à l’emploi, mais vous pouvez utiliser des critères de filtre pour ingérer des types d’alarmes spécifiques. À l’aide de cette Now Platform intégration, toutes les règles d’alarme configurées ou spécifiques en fonction du profil créé sont ingérées. Les règles d’alarme, telles que les alarmes de niveau de risque élevé uniquement, peuvent ensuite être filtrées pour spécifier quelles alarmes doivent créer des incidents de sécurité. Avant que des incidents de sécurité ne soient créés, les valeurs de champ individuelles des alarmes filtrées sont mappées aux champs correspondants de l’incident Now Platform de sécurité. Cette configuration est effectuée via un profil d’alarme au sein de votre Now Platform instance.

    Procédure

    1. Accédez à la Tous > LogRhythm Integration.
    2. Sélectionnez le module Profils d’alarme LogRhythm pour afficher la liste des profils d’alarme .
      Figure 1. Profil de l'alarme
      Créer un profil d’alarme
    3. Pour créer un nouveau profil d’alarme, cliquez sur Nouveau.
      Un nouveau formulaire de profil d’alarme s’affiche. En haut de la page, dans la barre de progression, le nom est sélectionné. Cette barre suit votre progression au cours de la configuration.
    4. Renseignez les champs du formulaire.
      Tableau 1. Profil de l'alarme
      Champ Description
      Nom Nom du profil d’alarme. Ce nom vous permet d’identifier les types d’alarmes tels que Accès non autorisé (VPN),Programme malveillant ou Hameçonnage.
      Description brève Texte court pour plus d’informations sur le profil d’alarme, qui peut inclure le type d’alarmes ou une catégorie d’alarme. Exemple de description : Toutes les alarmes associées aux tentatives d’accès Powershell et Sudo non autorisées.
      Source Serveur source de la liste de choix. La liste se compose des LogRhythm configurations que vous avez déjà configurées, par exemple, logrhythm-server-a. Consultez Installer le module d’extension et configurer LogRhythm.
      Ordre

      Priorité du profil d’alarme. Ce champ indique l’ordre dans lequel les profils d’alarme sont exécutés lorsque deux profils d’alarme ou plus partagent les conditions de déclenchement.
      Actif Cette option n’est pas sélectionnée par défaut. Une fois que vous avez terminé toutes les étapes de configuration du profil d’alarme et cliqué sur Terminer, vous êtes invité à cocher cette case pour activer le profil d’alarme. Lorsque le profil d’alarme est actif, il extrait automatiquement les alarmes de la LogRhythm console client.
    5. Cliquez sur Continuer pour enregistrer vos données et accéder au formulaire de mappage.

      Si la validation est réussie, la page se recharge et le formulaire de mappage s’affiche. Vous ne pouvez pas procéder à la configuration tant que vous n’avez pas validé votre connexion et vos informations d’identification.