Installer le module d’extension et configurer LogRhythm

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, effectuez les étapes d’installation et de configuration afin que l’application s’intègre correctement à Security Operations .Now Platform®

    Avant de commencer

    Rôle requis : admin

    Respectez la liste de vérification de configuration suivante avant l’installation. Ces tâches de configuration sont nécessaires pour une installation et une configuration fluides. La dernière LogRhythm version est 7.8 ou ultérieure.
    Remarque :
    Vos profils d’alarme existants ne seront plus pris en charge avec la dernière LogRhythm version, vous devez donc créer de nouveaux profils d’alarme et effectuer les configurations requises.
    Tâche de configuration Description

    Vérifiez que vous avez affecté les rôles requis Now Platform® et Security Incident Response (SIR).

    		 Les rôles suivants sont requis pour l’installation, la configuration et la vérification des résultats attendus :
    • L’administrateur système (admin) installe le module d’extension de l’application et affecte le rôle d’administrateur des incidents de sécurité (sn_si.admin).
    • Le (sn_si.admin) supervise les tâches suivantes :
      • Nome, crée et modifie les profils d’alarme.
      • Mappe et filtre les alarmes : identifie les alarmes spécifiques LogRhythm qui créent des incidents de sécurité et configure la façon dont ces champs d’alarme sont mappés à un Now Platform® incident de sécurité.
      • Affiche un aperçu de l’exactitude des détails de l’incident de sécurité avant de finaliser la configuration.
      • Ingère les alarmes historiques et planifie les alarmes extraites.
      • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
      • Ce rôle a également accès au Security Operations module.
    • L’analyste des incidents de sécurité (sn_si.analyst) répond aux incidents de sécurité créés en fonction des paramètres du profil d’alarme.

    Procurez-vous un nom d’utilisateur et un LogRhythm mot de passe d’API et vérifiez que vous utilisez la version LogRhythm 7.8 ou ultérieure.

    		 Visitez le site Web du produit pour plus d’informations sur les clés API et pour créer un compte : Site Web LogRhythm Enterprise. Les comptes d’utilisateur, les informations d’identification et les certificats doivent être configurés correctement avant l’installation de l’application.

    L’intégration nécessite LogRhythm la version 7.8 ou ultérieure et les LogRhythm API REST.

    Consultez Configurer l’API REST pour LogRhythm.
    Vérifiez que vous avez installé et configuré un MID Server.

    Un MID Server est requis dans votre Now Platform environnement. Consultez le site web de la documentation produit ServiceNow pour plus d’informations sur la façon d’installer et de configurer les MID Servers.

    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant d’installer l’application pour l’intégration.

    Pour la version Rome et les versions de famille ultérieures, le module d’extension Réponse aux incidents de sécurité Dependency (com.snc.si_dep) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Security Operations applications requises par l’intégration.

    Vérifiez que les applications suivantes Security Operations sont installées et activées à partir du ServiceNow Store. Si ce n’est pas le cas, installez et activez une application à la fois dans l’ordre suivant pour garantir une installation sans problème.

    1. Réponse aux incidents de sécurité
    2. Cadre de travail des intégrations de sécurité
    3. Security Support Common
    4. Orchestration du support de sécurité

    Pour plus d’informations sur la configuration de votre Now Platform instance pour l’intégration, consultez Obtenir une autorisation pour un produit ou une Security Operations application et Activer une ServiceNow Store application.
    Important :
    Si vous rencontrez des problèmes de connectivité à la LogRhythm console cliente, reportez-vous à la Vérifier la connectivité pour LogRhythmsection .

    Procédure

    1. Si vous n’avez pas installé l’application pour l’intégration, consultez Installer une Security Operations intégration et suivez les étapes pour l’installer.
    2. Une fois l’installation terminée, accédez à Intégrations > Configurations des intégrations et localisez la LogRhythm tuile.
    3. Cliquez sur Configurer.
      Tâche : cliquez sur le bouton Configurer pour LogRhythm.
    4. Cliquez sur le lien Nouvelle configuration .
      Tâche : cliquez sur le lien Nouvelle configuration.
    5. Renseignez les champs suivants du formulaire :
      Tableau 1. Configuration de LogRhythm
      Champ Description
      Nom LogRhythm Nom du serveur, par exemple, logrhythm-server-a.
      URL de base URL de base hébergeant l’API LogRhythm REST.

      Le MID Server permet d’accéder au réseau sur lequel la console client LogRhythm est hébergée. Cette URL est l’endroit où le LogRhythm serveur est hébergé dans ce réseau. Cliquez sur l’icône de verrou à l’extrémité droite pour modifier le champ et saisissez le texte d’une URL, par exemple https://logrhythm.secops-eng.com:8501/.
      Jeton d'API Entrez le jeton associé à votre API REST que vous avez créée sur la LogRhythm console cliente.
      Déploiement sur site Option à sélectionner s’il s’agit d’un LogRhythm déploiement sur site.
      Serveur MID MID Server spécifique configuré dans votre environnement. Seuls les MID Servers actifs qui ont été validés sont disponibles dans cette liste de choix.

      La figure suivante est un exemple de formulaire rempli.

      Un formulaire de configuration LogRhythm complété.
    6. Cliquez sur Valider et enregistrer.
      Une fois la validation terminée, un message s’affiche et la LogRhythm page Configurations est rechargée. L’étape suivante consiste à créer un profil d’alarme.

    Que faire ensuite

    Une fois que vous avez terminé la validation, l’étape suivante consiste à Création d’un profil d’alarme pour LogRhythm.