Options supplémentaires pour LogRhythm les alarmes
L’intégration LogRhythm d’entreprise vous offre la possibilité de mettre à jour ou de fermer automatiquement les LogRhythm alarmes en fonction des incidents de sécurité.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Lorsque vous activez l’option de mise à jour initiale de l’alarme, les alarmes sont automatiquement mises à jour dans les commentaires LogRhythm avec les mises à jour initiales de l’alarme. De même, lorsque vous activez l’option Mises à jour de fermeture d’alarme, les alarmes sont automatiquement fermées dans LogRhythm avec le code de fermeture SIR et les commentaires de fermeture.
L’ID LogRhythm d’alarme est lié à l’ID Now Platform d’incident de sécurité tout au long du cycle de vie de l’incident. Cette corrélation permet la fermeture simultanée et automatisée d’un incident de sécurité ou d’une alarme. Lorsque l’enregistrement d’incident de Réponse aux incidents de sécurité sécurité (SIR) est fermé, un commentaire est publié dans l’alarme sur la LogRhythm console Web. Ce commentaire indique que l’alarme a été fermée en fonction de la clôture de l’incident Now Platform de sécurité. Le numéro de l’incident et une URL qui renvoie à l’incident de sécurité pour référence sont également inclus dans la section des commentaires de l’alarme LogRhythm .
Procédure
- Cliquez sur l’étape Options supplémentaires dans la barre de progression.
-
Pour utiliser la mise à jour automatisée d’alarme pour la création d’incidents SIR, choisissez parmi les options suivantes pour configurer votre récupération d’alarme.
Option Description Mettre à jour les alarmes LogRhythm lors de la création de l'incident SIR La valeur par défaut est effacée. Sélectionnez cette option pour mettre à jour automatiquement les LogRhythm alarmes lorsque l’incident SIR est créé. Commentaires initiaux envoyés à l'alarme LogRhythm Indique les commentaires initiaux qui sont publiés pour l’alarme LogRhythm .
Modifiez le texte par défaut qui s’affiche dans la section des commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ sur le formulaire d’incident SIR.
Par exemple, l’incident de sécurité ServiceNow associé, ${Number}$ a été créé et affecté à ${Assignment group}$. Des détails supplémentaires sur l’incident de sécurité peuvent être trouvés ici : ${URL}$.
-
Pour utiliser la mise à jour automatisée d’alarme pour la fermeture de l’incident SIR, choisissez parmi les options suivantes pour configurer votre récupération d’alarme.
Option Description Fermer les alarmes LogRhythm lors de la fermeture de l'incident SIR La valeur par défaut est effacée. Sélectionnez cette option pour fermer automatiquement les LogRhythm alarmes lorsque l’incident SIR est fermé. Commentaires de fermeture envoyés à l'alarme LogRhythm Indique les commentaires de fermeture qui sont publiés pour l’alarme LogRhythm .
Modifiez le texte par défaut qui s’affiche dans la section des commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ sur le formulaire d’incident SIR.
Par exemple, l’incident de sécurité ServiceNow associé, ${Number}$, a été fermé par SOC Analyst-${Closed by}$ avec les notes de fermeture suivantes : ${Close notes}$. Des détails supplémentaires sur l’incident de sécurité peuvent être trouvés ici : ${URL}$.
- Cliquez sur Terminer pour enregistrer le profil de l’alarme.