플러그인 설치 및 구성 LogRhythm

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 4분

    • 인스턴스에서 통합을 실행하기 전에 설치 및 구성 단계를 완료하여 애플리케이션이 보안 운영Now Platform®.

    시작하기 전에

    필요한 역할: admin

    설치하기 전에 다음 설정 검사 목록을 완료합니다. 이러한 설정 작업은 원활한 설치 및 구성에 필요합니다. 최신 LogRhythm 버전은 7.8 이상입니다.
    주:
    기존 경보 프로파일은 최신 LogRhythm 버전에서 더 이상 지원되지 않으므로 새 경보 프로파일을 생성하고 필요한 구성을 수행해야 합니다.
    설정 작업 설명

    필수 Now Platform® 및 보안 인시던트 응답(SIR) 역할을 할당했는지 확인합니다.

    		 다음 역할은 예상 결과의 설치, 구성 및 검증에 필요합니다.
    • 시스템 관리자(admin)는 애플리케이션 플러그인을 설치하고 보안 인시던트 관리자(sn_si.admin) 역할을 할당합니다.
    • (sn_si.admin)은 다음 작업을 감독합니다.
      • 경보 프로파일의 이름을 지정하고, 생성하고, 편집합니다.
      • 경보 매핑 및 필터링 – 보안 인시던트를 생성하는 특정 LogRhythm 경보를 식별하고 이러한 경보 필드가 보안 인시던트에 매핑되는 Now Platform® 방식을 구성합니다.
      • 구성을 완료하기 전에 정확성을 위해 보안 인시던트 상세 정보를 미리 봅니다.
      • 기록 경보를 수집하고 끌어온 경보를 예약합니다.
      • 보안 인시던트 분석가(sn_si.analyst) 역할을 할당합니다.
      • 이 역할은 모듈에 보안 운영 대한 액세스 권한도 가집니다.
    • 보안 인시던트 분석가(sn_si.analyst)는 경보 프로파일 설정에 따라 생성된 보안 인시던트에 대응합니다.

    API 사용자 이름 및 비밀번호를 확보 LogRhythm 하고 버전 LogRhythm 7.8 이상을 사용 중인지 확인하십시오.

    		 API 키에 대한 정보를 확인하고 계정을 만들려면 제품 웹 사이트를 방문하십시오: LogRhythm Enterprise 웹 사이트. 애플리케이션을 설치하기 전에 사용자 계정, 자격 증명 및 인증서를 올바르게 구성해야 합니다.

    통합하려면 버전 7.8 이상과 REST API가 LogRhythm 필요합니다LogRhythm.

    에 대한 REST API 설정 LogRhythm 문서를 참조하십시오.
    MID 서버를 설치 및 구성했는지 확인하십시오.

    사용자 Now Platform 환경에 MID 서버가 필요합니다. MID Server 설정 및 구성 방법에 대한 자세한 내용은 ServiceNow 제품 설명서 웹 사이트를 참조하십시오.

    통합을 위한 애플리케이션을 설치하기 전에 통합을 지원하는 데 필요한 핵심 애플리케이션이 설치되고 활성화되어 있는지 ServiceNow 확인합니다.

    Rome 릴리스 및 이후 제품군 릴리스의 경우 Dependency 플러그인(com.snc.si_dep)이 보안 인시던트 응답 필요합니다. 이 플러그인은 제품을 지원하는 보안 인시던트 응답 데 필요한 모든 종속성을 자동으로 설치합니다. 통합에 필요한 다른 보안 운영 애플리케이션을 설치하고 활성화하기 전에 이 플러그인을 설치하고 활성화합니다.

    다음 보안 운영 응용 프로그램이 에서 설치 및 활성화 ServiceNow Store되어 있는지 확인합니다. 설치되지 않은 경우 원활한 설치를 위해 다음 순서로 한 번에 하나의 애플리케이션을 설치하고 활성화하십시오.

    1. 보안 인시던트 응답
    2. 보안 통합 프레임워크
    3. Security Support Common
    4. 보안 지원 오케스트레이션

    통합을 위한 인스턴스 설정에 Now Platform 대한 자세한 내용은 해당 문서를 참조하십시오.
    중요사항:
    클라이언트 콘솔에 대한 연결 확인 LogRhythmLogRhythm 대한 연결 문제가 있는 경우 .

    프로시저

    1. 통합을 위한 애플리케이션을 설치하지 않은 경우 설치 단계를 참조 하고 따르십시오.
    2. 설치가 완료되면 통합 > 통합 구성 을 클릭하고 타일을 LogRhythm 찾습니다.
    3. 구성을 클릭합니다.
      작업: 에 대한 LogRhythm구성 단추를 클릭합니다.
    4. New Configuration(새 구성) 링크를 누릅니다.
      작업: 새 구성 링크를 클릭합니다.
    5. 양식의 필드에 내용을 입력합니다.
      표 1. LogRhythm 구성
      필드 설명
      이름 LogRhythm 서버 이름(예: logrhythm-server-a)입니다.
      기본 URL REST API를 호스팅하는 기본 URL입니다 LogRhythm .

      MID Server는 LogRhythm 클라이언트 콘솔이 호스팅되는 네트워크에 대한 액세스를 허용합니다. 이 URL은 해당 네트워크 내에서 서버가 호스팅되는 위치 LogRhythm 입니다. 오른쪽 끝에 있는 자물쇠 아이콘을 클릭하여 필드를 편집하고 URL에 대한 텍스트(예: https://logrhythm.secops-eng.com:8501/)를 입력합니다.
      API 토큰 클라이언트 콘솔에서 만든 REST API와 LogRhythm 연결된 토큰을 입력합니다.
      온 프레미스 배포 온프레미스 배포인지 LogRhythm 여부를 선택하는 옵션입니다.
      MID 서버 사용자 환경에 설정된 특정 MID 서버. 활성 상태이고 유효성이 확인된 MID Server만 이 선택 목록에서 사용할 수 있습니다.

      다음 그림은 완성된 양식의 예입니다.

      완성된 LogRhythm 구성 양식입니다.
    6. Validate and save(확인 및 저장)를 클릭합니다.
      유효성 검사가 성공적으로 완료되면 메시지가 표시되고 LogRhythm 구성 페이지가 다시 로드됩니다. 다음 단계는 경보 프로필을 만드는 것입니다.

    다음에 수행할 작업

    유효성 검사를 성공적으로 완료한 후 다음 단계는 에 대한 경보 프로파일 생성 LogRhythm입니다.