Affichage de l’aperçu de l’incident de sécurité avec les valeurs d’alarme mappées LogRhythm
Une fois que vous avez terminé l’étape de mappage, prévisualisez les valeurs que vous avez mappées aux champs de l’incident de sécurité. Cette étape d’aperçu vous permet de vérifier que vous avez mappé tous les champs d’alarme critiques LogRhythm que vous souhaitez afficher sur l’incident de sécurité.
Rôle requis : sn_si.admin.
Incident de sécurité
Si l’aperçu de l’incident de sécurité n’est pas affiché, cliquez sur Aperçu dans la barre de progression.
Les deux figures suivantes montrent un exemple de l’aperçu de l’ensemble Now Platform de l’incident de sécurité. Cet exemple de l’aperçu de l’incident de sécurité est renseigné avec les champs d’alarmes mappés à partir de l’exemple LogRhythm d’alarme 13663.
Dans la figure suivante, les champs Élément de configuration, Utilisateur affecté, Priorité, Groupe d’affectation et Description brève de l’incident de sécurité sont renseignés.
Le champ Description est renseigné dans la moitié inférieure du formulaire d’incident de sécurité. Sous la section Éléments connexes, les champs Élément de configuration, Observable et Note de travail sont renseignés avec des valeurs. Si plusieurs valeurs sont mappées pour ces champs, chaque valeur s’affiche sur l’incident de sécurité, car chacun de ces champs peut en accepter plusieurs.
Conditions d’erreur dans l’aperçu
Les messages d’avertissement suivants peuvent s’afficher lors de la prévisualisation de l’incident de sécurité. Si un échantillon d’alarme ne répond pas aux critères de filtrage, l’incident de sécurité en entier n’est pas renseigné.
Valeur d’entrée introuvable
Si l’ID d’alarme est inclus dans les conditions de filtrage, un message d’avertissement peut toujours s’afficher si des valeurs d’entrée spécifiques ne sont pas trouvées pour certains champs mappés. Pour les besoins de l’exemple suivant, dans l’aperçu de l’enregistrement, supposons qu’il n’y ait aucune valeur dans le champ Affecté à , bien qu’il ait été mappé.
Pour ce type de message, vérifiez que la valeur d’entrée est correcte dans l’enregistrement de mappage. Dans ce cas, la personne figurant dans le champ Affecté à dans l’incident de sécurité est incorrecte dans l’instance Now Platform . Lorsque cette alarme est ingérée et qu’elle crée un incident de sécurité avec cette condition, les champs avec cette valeur d’entrée (Abel Tuter) sont laissés vides dans l’incident de sécurité.
Les autres messages en bleu sont informatifs et indiquent que ces champs n’ont aucune valeur à afficher dans l’aperçu. Cet aperçu permet à l’administrateur d’incident de sécurité qui configure le profil d’alarme de vérifier que ces champs ne doivent avoir aucune valeur à l’étape de création initiale, car dans certains cas, les champs d’incident de sécurité peuvent être renseignés ultérieurement automatiquement. D’autres erreurs de mappage sont également affichées.
Une fois que vous êtes satisfait du mappage et de l’aperçu de l’incident de sécurité, choisissez-en un pour continuer la configuration.
| Option | Description |
|---|---|
| Cliquez sur Continuer ou Planification dans la barre de progression. | Passez au formulaire Planification et récupération d’alarme . Planification et récupération d’alarme est sélectionné dans la barre de progression. L’étape suivante consiste à planifier la récupération de l’alarme. |
| Cliquez sur Précédent. | Revenez au profil d’alarme et poursuivez le mappage. |
| Entrez un autre ID d’alarme dans la liste de choix ID d’échantillon d’alarme en haut du formulaire d’aperçu. | La liste de choix d’ID d’échantillon d’alarme s’affiche pour chaque ID d’alarme que vous avez saisi. Vous pouvez sélectionner jusqu’à cinq alarmes. Cette option vous permet de prévisualiser un autre LogRhythm ID d’alarme sur un incident de sécurité. |
Une fois que vous avez prévisualisé l’incident de sécurité et que vous êtes satisfait des résultats, l’étape suivante consiste à Planifier et récupérer LogRhythm des alarmes.