Erstellen eines Alarmprofils für LogRhythm

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • In einem von Ihnen erstellten und benannten Alarmprofil geben Sie an, welche Alarme Sie aus der Client-Konsole LogRhythm abrufen möchten. Sie definieren auch, wie sie Feldern in einem Security Incident Now Platform zugeordnet werden.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Basierend auf dem konfigurierten Alarmprofil kann ein Alarmprofil alle Arten von Alarmen sofort erfassen. Sie können jedoch Filterkriterien verwenden, um bestimmte Arten von Alarmen zu erfassen. Mit dieser Now Platform Integration werden alle konfigurierten Alarmregeln oder bestimmte basierend auf dem erstellten Profil erfasst. Alarmregeln, z. B. nur für Alarme bei hohen Risikostufen, können dann gefiltert werden, um anzugeben, welche Alarme Security Incidents erstellen sollen. Bevor Security Incidents erstellt werden, werden einzelne Feldwerte der gefilterten Alarme den entsprechenden Feldern im Security Incident Now Platform zugeordnet. Diese Konfiguration erfolgt über ein Alarmprofil innerhalb Ihrer Instanz Now Platform.

    Prozedur

    1. Navigieren zu Alle > LogRhythm-Integration.
    2. Wählen Sie das Modul LogRhythm-Alarmprofile aus, um die Liste der Alarmprofile anzuzeigen.
      Abbildung : 1. Alarmprofil
      Erstellen Sie ein Alarmprofil
    3. Klicken Sie auf Neu, um ein neues Alarmprofil zu erstellen.
      Ein neues Alarmprofilformular wird angezeigt. Oben auf der Seite wird in der Fortschrittsleiste Name ausgewählt. Diese Leiste verfolgt Ihren Fortschritt während der Konfiguration.
    4. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. Alarmprofil
      Feld Beschreibung
      Name Name für das Alarmprofil. Anhand dieses Namens können Sie die Alarmtypen wie z. B. Nicht autorisierter Zugriff (VPN), Malwareoder Phishingidentifizieren.
      Kurzbeschreibung Kurztext für zusätzliche Informationen zum Alarmprofil, die den Typ der Alarme oder eine Alarmkategorie enthalten können. Beispielbeschreibung: Alle Alarme, die nicht autorisierten PowerShell- und Sudo-Zugriffsversuchen zugeordnet sind.
      Quelle Quellserver aus der Auswahlliste. Die Liste besteht aus LogRhythm Konfigurationen, die Sie bereits eingerichtet haben, z. B. logrhythm-server-a. Weitere Informationen finden Sie unter Installieren Sie das Plugin, und konfigurieren Sie es LogRhythm.
      Bestellung

      Priorität des Alarmprofils. Dieses Feld gibt die Reihenfolge an, in der die Alarmprofile ausgeführt werden, wenn zwei oder mehr Alarmprofile die Auslösebedingungen gemeinsam nutzen.
      Aktiv Standardmäßig ist diese Option nicht ausgewählt. Nachdem Sie alle Schritte zur Einrichtung des Alarmprofils abgeschlossen und auf Fertigstellengeklickt haben, werden Sie aufgefordert, dieses Kontrollkästchen zu aktivieren, um das Alarmprofil zu aktivieren. Wenn das Alarmprofil aktiv ist, werden automatisch Alarme aus der Client-Konsole LogRhythm abgerufen.
    5. Klicken Sie auf „Fortsetzen“, um Ihre Daten zu speichern und mit dem Zuordnungsformular fortzufahren.

      Wenn die Validierung erfolgreich ist, wird die Seite neu geladen, und das Zuordnungsformular wird angezeigt. Sie können mit der Konfiguration erst fortfahren, wenn Sie Ihre Verbindung und Ihre Anmeldeinformationen erfolgreich validiert haben.