Aperçu de l’incident de sécurité avec les valeurs d’alarme mappées LogRhythm
Une fois que vous avez terminé l’étape de mappage, prévisualisez les valeurs que vous avez mappées aux champs de l’incident de sécurité. Cette étape de prévisualisation vous permet de vérifier que vous avez mappé tous les champs d’alarme critiques LogRhythm que vous souhaitez afficher sur l’incident de sécurité.
Rôle requis : sn_si.admin.
Incident de sécurité
Si l’aperçu de l’incident de sécurité n’est pas affiché, cliquez sur Aperçu dans la barre de progression.
Les deux figures suivantes présentent un exemple de l’aperçu de l’ensemble Now Platform de l’incident de sécurité. Cet exemple d’aperçu de l’incident de sécurité est renseigné avec les champs d’alarme mappés à partir de l’alarme LogRhythmd’échantillon 13663.
La figure suivante indique que les champs Élément de configuration, Utilisateur affecté, Priorité, Groupe d’affectation et Description brève de l’incident de sécurité sont renseignés.
Dans la moitié inférieure du formulaire d’incident de sécurité, le champ Description est renseigné. Sous la section Éléments connexes, les champs Élément de configuration, Observable et Note de travail sont renseignés avec des valeurs. Si plusieurs valeurs sont mappées pour ces champs, chaque valeur s’affiche sur l’incident de sécurité, car chacun de ces champs peut accepter plus d’une valeur.
Conditions d’erreur dans l’aperçu
Les messages d’avertissement suivants peuvent s’afficher lors de la prévisualisation de l’incident de sécurité. Si un échantillon d’alarme ne répond pas aux critères de filtrage, l’incident de sécurité complet n’est pas renseigné.
Valeur d’entrée introuvable
Si l’ID d’alarme est inclus dans les conditions de filtrage, un message d’avertissement peut toujours être affiché si des valeurs d’entrée spécifiques ne sont pas trouvées pour certains champs mappés. Pour les besoins de l’exemple suivant, dans l’aperçu de l’enregistrement, supposons qu’il n’y a aucune valeur dans le champ Affecté à , bien qu’il ait été mappé.
Pour ce type de message, vérifiez que la valeur d’entrée est correcte dans l’enregistrement de mappage. Dans ce cas, la personne figurant dans le champ Affecté à dans l’incident de sécurité est incorrecte dans l’instance Now Platform . Lorsque cette alarme est ingérée et qu’elle crée un incident de sécurité avec cette condition, les champs avec cette valeur d’entrée (Abel Tuter) sont laissés vides dans l’incident de sécurité.
Les autres messages en bleu sont informatifs et indiquent que ces champs n’ont aucune valeur à afficher dans l’aperçu. Cet aperçu permet à l’administrateur d’incident de sécurité qui configure le profil d’alarme de vérifier que ces champs ne doivent avoir aucune valeur lors de l’étape de création initiale, car dans certains cas, les champs d’incident de sécurité peuvent être renseignés automatiquement ultérieurement. D’autres erreurs de mappage sont également affichées.
Une fois que vous êtes satisfait du mappage et de l’aperçu de l’incident de sécurité, choisissez-en un pour poursuivre la configuration.
| Option | Description |
|---|---|
| Cliquez sur Continuer ou Planification dans la barre de progression. | Passez au formulaire Planification et récupération d’alarme . La planification et la récupération des alarmes sont sélectionnées dans la barre de progression. L’étape suivante consiste à planifier la récupération de l’alarme. |
| Cliquez sur Précédent. | Revenez au profil d’alarme et continuez le mappage. |
| Entrez un autre ID d’alarme dans la liste de choix d’ID d’échantillon d’alarme en haut du formulaire d’aperçu. | La liste de choix d’ID d’échantillon d’alarme s’affiche pour chaque ID d’alarme que vous avez saisi. Vous pouvez sélectionner jusqu’à cinq alarmes. Cette option vous permet de prévisualiser un autre LogRhythm ID d’alarme sur un incident de sécurité. |
Une fois que vous avez prévisualisé l’incident de sécurité et que vous êtes satisfait des résultats, l’étape suivante consiste à Programmer et récupérer LogRhythm des alarmes.