プラグインのインストールおよび LogRhythm の構成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • インスタンスで統合を実行する前に、インストールと構成の手順を完了して、アプリケーションが Now Platform®Security Operations と適切に統合されるようにします。

    始める前に

    必要なロール:admin

    インストールの前に、次のセットアップチェックリストを完了します。これらのセットアップタスクは、インストールと構成をスムーズに行うために必要です。最新の LogRhythm バージョンは 7.8 以降です。
    注:
    既存のアラームプロファイルは最新の LogRhythm バージョンではサポートされなくなるため、新しいアラームプロファイルを作成して必要な構成を実行する必要があります。
    セットアップタスク 説明

    必要な Now Platform® および Security Incident Response (SIR) のロールがアサインされていることを確認します。

    		 インストール、構成、および予想される結果の検証には、次のロールが必要です。
    • システム管理者 (admin) は、アプリケーションプラグインをインストールし、Security Incident Management者 (sn_si.admin) ロールをアサインします。
    • (sn_si.admin) は、次のタスクを監督します。
      • アラームプロファイルに名前を付け、作成し、編集します。
      • アラームのマッピングとフィルタリング:セキュリティインシデントを作成する特定の LogRhythm アラームを識別し、これらのアラームフィールドを Now Platform® セキュリティインシデントにマッピングする方法を設定します。
      • 構成を確定する前に、正確性を確認するためにセキュリティインシデントの詳細をプレビューします。
      • 履歴アラームを取り込み、プルされたアラームをスケジュールします。
      • セキュリティインシデントアナリスト (sn_si.analyst) ロールをアサインします。
      • このロールは Security Operations モジュールにもアクセスできます。
    • セキュリティインシデントアナリスト (sn_si.analyst) は、アラームプロファイル設定に基づいて作成されたセキュリティインシデントに対応します。

    LogRhythm API のユーザー名とパスワードを取得し、バージョン LogRhythm 7.8 以降を使用していることを確認します。

    		 API キーの詳細やアカウントの作成方法については、LogRhythm Enterprise の Web サイトを参照してください。アプリケーションをインストールする前に、ユーザーアカウント、資格情報、および証明書を適切に設定する必要があります。

    統合には、LogRhythm バージョン 7.8 以降と LogRhythm REST APIs が必要です。

    LogRhythm の REST API の設定」を参照してください。
    MID Server がインストールおよび設定されていることを確認します。

    Now Platform 環境には MID Server が必要です。MID Server の設定方法および構成方法については、ServiceNow 製品ドキュメント Web サイトを参照してください。

    統合用のアプリケーションをインストールする前に、統合をサポートするために必要な ServiceNow コアアプリケーションがインストールされ、アクティブ化されていることを確認します。

    Rome リリース以降のファミリリリースでは、セキュリティインシデントレスポンス Dependency プラグイン (com.snc.si_dep) が必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。統合に必要な他の Security Operations アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

    次の Security Operations アプリケーションが、ServiceNow Store からインストールされ、アクティブ化されていることを確認します。インストールされていない場合は、スムーズにインストールできるように、次の順序で一度に 1 つずつアプリケーションをインストールしてアクティブ化します。

    1. Security Incident Response
    2. Security Integration Framework
    3. Security Support Common
    4. Security Support Orchestration

    統合のための Now Platform インスタンスのセットアップの詳細については、「Security Operations 製品またはアプリケーションのエンタイトルメントの取得」および「ServiceNow Store アプリケーションのアクティブ化」を参照してください。
    重要:
    LogRhythm クライアントコンソールへの接続に問題がある場合は、「LogRhythm の接続性の確認」を参照してください。

    手順

    1. 統合用のアプリケーションをインストールしていない場合は、「Security Operations 統合のインストール」を参照し、手順に従ってインストールしてください。
    2. インストールが完了したら、次の場所に移動します。 統合 > 統合構成 タイルを見つけますLogRhythm
    3. [構成] をクリックします。
      タスク:LogRhythm の [構成] ボタンをクリックする。
    4. [新規構成] リンクをクリックします。
      タスク:[新規構成] リンクをクリックする。
    5. フォームのフィールドに入力します。
      表 : 1. LogRhythm 構成
      フィールド 説明
      名前 LogRhythm サーバー名 (例:logrhythm-server-a)
      ベース URL LogRhythm REST API をホストするベース URL。

      MID Server は、LogRhythm クライアントコンソールがホストされているネットワークへのアクセスを許可します。この URL は、そのネットワーク内で LogRhythm サーバーがホストされている場所です。右端のロックアイコンをクリックしてフィールドを編集し、URL のテキストを入力します (例:https://logrhythm.secops-eng.com:8501/)。
      API トークン LogRhythm クライアントコンソールで作成した REST API に関連付けられているトークンを入力します。
      オンプレミス展開 LogRhythm オンプレミス展開の場合に選択するオプション。
      MID Server 環境に設定されている MID Server を指定します。この選択リストからはアクティブで検証済みの MID Server のみを使用できます。

      次の図は、完成したフォームの例です。

      入力済みの [LogRhythm 構成] フォーム。
    6. [検証して保存] をクリックします。
      検証が正常に完了すると、メッセージが表示され、[LogRhythm 構成] ページが再ロードされます。次のステップでは、アラームプロファイルを作成します。

    次のタスク

    検証が正常に完了したら、次のステップは「LogRhythm のアラームプロファイルの作成」です。