Mapper LogRhythm les champs d’alarme aux champs d’incident de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Vous mappez les champs d’alarme individuels aux champs d’incident de sécurité. Le mappage préconfiguré peut être modifié et le code couleur fourni pour les champs vous aide à surveiller les alarmes que vous avez déjà mappées. Cette étape vous permet de visualiser l’impact de vos modifications sur les champs de l’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Si vous n’êtes pas familier avec les LogRhythm alarmes, accédez à la LogRhythm console du client et passez en revue quelques exemples d’ID d’alarme. Pour l’exemple suivant, LogRhythm les alarmes 9468 et 9474 ont été utilisées pour mapper les alarmes à l’incident de sécurité.

    Pourquoi et quand exécuter cette tâche

    À l’aide de ce formulaire, vous mappez les LogRhythm règles d’alarme de gauche aux champs d’incident de sécurité de droite.

    La figure suivante montre le mappage par défaut des alarmes qui est préconfiguré pour chaque profil d’alarme. Ce mappage par défaut peut être modifié et, avec ce formulaire, vous pouvez personnaliser les champs qui renseignent l’incident de sécurité. Une fois ce mappage terminé, vous pouvez voir comment l’ajout ou la suppression de champs d’alarme peut impacter les valeurs de champ sur l’incident de sécurité.

    Sur le côté gauche de ce formulaire, dans la figure suivante, les règles d’alarme LogRhythm sont décrites. Les valeurs de ces règles d’alarme sont mappées aux champs d’incident de sécurité sur le côté droit du formulaire.

    Procédure

    1. Après avoir créé un profil d’alarme pour LogRhythm, cliquez sur Mappage dans la barre de progression.
    2. Dans le champ Alarm Sample Ingestion , entrez jusqu’à cinq ID d’alarme d’échantillon LogRhythm séparés par des virgules (9468,9474).
      Tâche : Entrez les alarmes à extraire pour un profil d’alarme.
    3. À côté du champ d’alarme, cliquez sur Extraire les alarmes.

      L’extraction des échantillons d’alarmes peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.

      Une fois que les ID d’alarme d’échantillon sont soumis et extraits avec succès du serveur, les champs d’alarme LogRhythm et leurs valeurs correspondantes sont affichés dans des onglets.
      Remarque :
      Une fois qu’un ID d’alarme est extrait avec succès, le Now Platform peut renvoyer le message suivant : Les nouveaux champs suivants seront disponibles pour le filtrage sous peu. Veuillez recharger ce profil dans quelques minutes si le filtrage basé sur ces champs est requis. itemspacketsin, itemspacketsout.

      Ce message se produit lorsque l’alarme unique qui a été extraite contient des noms de champs qui n’ont pas été traités auparavant par le Now Platform. Ces champs sont disponibles pour le mappage. Toutefois, si ce message s’affiche, rechargez le formulaire afin que ces champs soient affichés et disponibles dans les listes de choix de filtres du générateur de conditions lorsque vous êtes prêt à définir les conditions de filtrage.

      L’ingestion de ces échantillons d’alarmes dans la configuration du profil d’alarme vous aide à empêcher le mappage des champs d’alarme à l’incident de sécurité qui ne contiennent aucune valeur. Il aligne également les champs d’alarme avec les valeurs sur les champs appropriés dans l’incident de sécurité. Cette étape permet de s’assurer que tous les champs d’alarme critiques sont mappés et qu’aucune valeur de champ n’est manquante dans l’incident de sécurité.

      Pour vous assurer qu’aucune alarme n’est négligée ou dupliquée dans le processus de mappage, les champs d’alarme sont codés par couleur. Un champ d’alarme bleu clair (Compte, AlarmRuleID,AlarmStatus, etc.) indique qu’un champ n’est pas encore sélectionné pour être mappé à un incident de sécurité.

      Un champ gris (AlarmDate, AlarmID et AlarmRuleName) indique qu’un champ a déjà été sélectionné et a été mappé à un champ sur l’incident de sécurité. Ce code couleur vous aide à suivre le mappage, car dans certains cas, un champ d’alarme peut être mappé à plusieurs champs sur un incident de sécurité. Par exemple, les champs Observables et Note de travail peuvent avoir plusieurs valeurs.

    4. Pour effacer les données d’alarme d’échantillon, cliquez sur Effacer les données d’alarme d’échantillon.
    5. Pour modifier la configuration par défaut sur l’incident de sécurité, procédez comme suit pour ajouter un champ :
      L’exemple illustre comment rechercher, ajouter un champ et le mapper.
      1. En bas à droite du formulaire, cliquez sur l’icône plus.
        Un nouveau champ s’affiche.
      2. Dans la colonne Incident de sécurité, sélectionnez un champ disponible dans la liste de choix.

        Dans la liste de choix développée, certains champs sont ombrés. Par exemple, la catégorie a un arrière-plan gris, ce qui indique qu’elle a été mappée dans l’incident de sécurité. À l’instar du code couleur pour LogRhythm les champs d’alarme, ce code couleur pour les champs d’incident de sécurité garantit que les valeurs des champs d’alarme ne sont pas mappées par inadvertance au même champ d’incident de sécurité.

        Dans l’illustration ci-dessus, la règle de l’alarme ${Alarm :classificationName}$ est déjà mappée au champ Catégorie dans l’incident de sécurité de ce profil.

        Remarque :
        Le champ Observable peut être mappé à plusieurs champs sur le même incident de sécurité afin que plusieurs observables puissent être affichés. De même, les champs Élément de configuration et Notes de travail peuvent être mappés pour afficher plusieurs valeurs.

        Du côté de l’ingestion d’échantillon d’alarme du formulaire, le bleu indique qu’un champ de règle d’alarme n’a pas été mappé. Le gris indique qu’il a été mappé. Dans la liste de choix du côté du formulaire Mappage de champ d’incident SIR, le blanc indique qu’un champ n’a pas été mappé. Le gris indique qu’un champ a été mappé. Utilisez ce code couleur pour vous aider à suivre le mappage de vos champs.

        Dans l’illustration ci-dessus, Utilisateur affecté a été sélectionné dans la liste de choix comme un nouveau champ sur l’incident de sécurité.

      3. Dans la section Ingestion d’échantillons d’alarme sur le côté gauche du formulaire, cliquez avec le bouton gauche de la souris pour sélectionner l’ID d’alarme souhaité dans le champ expression d’entrée.

        Dans l’illustration ci-dessus, Login (Connexion ) a été sélectionné.

      4. Faites-le glisser vers le champ vide et relâchez-le.
        Dans la colonne de gauche, dans la section Mappage de champs d’incidents SIR, la nouvelle valeur du champ Utilisateur affecté s’affiche. Dans ce cas, la valeur de connexion de l’alarme LogRhythm s’affiche dans le champ Utilisateur affecté de l’incident de sécurité.
    6. Vous pouvez également saisir manuellement une valeur pour les champs de la colonne Expression d’entrée : placez votre curseur dans le champ d’expression d’entrée et saisissez la valeur d’alarme souhaitée.

      Par exemple, dans l’illustration ci-dessus, un autre champ a été ajouté (Groupe d’affectation) au formulaire d’incident de sécurité et l’affectation d’incident de sécurité a été saisie manuellement dans le champ.

    7. Continuez à modifier le mappage préconfiguré au besoin.
      Si vous avez besoin de convertir des valeurs de champs d’alarme en valeurs prises en charge par les champs de l’incident de sécurité, vous pouvez utiliser l’éditeur de LogRhythm script. Consultez Utiliser l’éditeur de script pour formater LogRhythm les valeurs.

    Que faire ensuite

    Une fois que vous avez terminé le mappage des champs, l’étape suivante consiste à Filtrer les alarmes pour LogRhythm.