Zusätzliche Optionen für LogRhythm -Alarme

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Die LogRhythm Enterprise-Integration bietet Ihnen die Möglichkeit, die LogRhythm -Alarme basierend auf Security Incidents automatisch zu aktualisieren oder zu schließen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie die Option Erste Alarmaktualisierungen aktivieren, werden die Alarme in den LogRhythm-Kommentaren automatisch mit den ersten Alarmaktualisierungen aktualisiert. Ebenso werden, wenn Sie die Option Alarmschließung aktualisieren aktivieren, die Alarme in LogRhythm zusammen mit dem SIR-Abschlusscode und den Abschlusskommentaren automatisch geschlossen.

    Die ID des Alarms LogRhythm wird während des gesamten Lebenszyklus des Incidents mit der ID des Security Incidents Now Platform verknüpft. Diese Korrelation ermöglicht einen gleichzeitigen und automatisierten Abschluss von Security Incidents/Alarmen. Wenn der Security Incident-Datensatz Security Incident Response (SIR) geschlossen wird, wird im Alarm in der Webkonsole LogRhythm ein Kommentar gepostet. Dieser Kommentar gibt an, dass der Alarm basierend auf der Schließung des Security Incident Now Platform geschlossen wurde. Die Incident-Nummer und eine URL, die als Referenz auf den Security Incident verweist, sind auch im Kommentarabschnitt im Alarm LogRhythm enthalten.

    Prozedur

    1. Klicken Sie auf den Schritt Zusätzliche Optionen in der Fortschrittsleiste.
    2. Um die automatisierte Alarmaktualisierung für die Erstellung von SIR-Incidents zu verwenden, wählen Sie aus den folgenden Optionen aus, um Ihren Alarmabruf zu konfigurieren.
      OptionBeschreibung
      LogRhythm-Alarme bei Erstellung des SIR-Incidents aktualisieren Standard ist gelöscht. Wählen Sie diese Option aus, um die LogRhythm -Alarme automatisch zu aktualisieren, wenn der SIR-Incident erstellt wird.
      Anfangskommentare, die an den LogRhythm-Alarm zurückgesendet werden

      Gibt die ersten Kommentare an, die für den LogRhythm -Alarm veröffentlicht werden.

      Bearbeiten Sie den Standardtext, der im Kommentarbereich angezeigt wird, indem Sie die Ersetzungsvariablen im Format $⁠{Feldname}$ für ein beliebiges Feld im SIR-Incident-Formular hinzufügen oder ändern.

      Beispiel: Der zugehörige ServiceNow-Security Incident ${Number}$ wurde erstellt und der ${Zuweisungsgruppe}$ zugewiesen. Zusätzliche Details finden Sie im Security Incident hier – ${URL}$.
    3. Um das automatisierte Alarm-Update für das Schließen von SIR-Incidents zu verwenden, wählen Sie aus den folgenden Optionen aus, um Ihren Alarmabruf zu konfigurieren.
      OptionBeschreibung
      LogRhythm-Alarme bei Abschluss des SIR-Incidents schließen Standard ist gelöscht. Wählen Sie diese Option aus, um die LogRhythm -Alarme automatisch zu schließen, wenn der SIR-Incident geschlossen wird.
      Abschlusskommentare, die an den LogRhythm-Alarm zurückgesendet werden

      Gibt die Abschlusskommentare an, die für den Alarm LogRhythm veröffentlicht werden.

      Bearbeiten Sie den Standardtext, der im Kommentarbereich angezeigt wird, indem Sie die Ersetzungsvariablen im Format $⁠{Feldname}$ für ein beliebiges Feld im SIR-Incident-Formular hinzufügen oder ändern.

      Beispiel: Der zugehörige ServiceNow-Security Incident ${Number}$ wurde vom SOC-Analysten geschlossen – ${Geschlossen von}$ mit den folgenden Abschlussnotizen: ${Abschlussnotizen}$. Zusätzliche Details finden Sie im Security Incident hier – ${URL}$.
    4. Klicken Sie auf Fertigstellen, um das Alarmprofil zu speichern.
    Wenn Sie keine Hinweise sehen, dass der Alarm im Security Incident erfolgreich geschlossen wurde, lesen Sie in den Arbeitsnotizen nach, wie Sie das Problem beheben können. Überprüfen Sie auch Ihre Serververbindung. Wenn Sie bestätigen, dass der Security Incident Now Platform geschlossen wurde und beim Server kein Timeout aufgetreten ist, müssen Sie den Alarm möglicherweise manuell in der Webkonsole LogRhythm schließen.