다음에 대한 경보 필터링 LogRhythm

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기1분

    • 필드를 매핑한 후 경보에 대한 필터링 기준을 설정하면 SIR 애플리케이션에 수집할 경보를 결정하는 데 도움이 됩니다. 경보를 필터링하면 경보 프로파일이 활성화될 때 수집하는 경보 수를 크게 줄일 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    매핑 양식 하단의 필터링 조건을 사용하여 특정 경보를 필터링하거나 특정 필드 수준 기준을 충족하는 경보로만 수집을 제한합니다. 필터링하면 경보 프로파일이 활성화된 후 수집하는 경보 수가 크게 줄어듭니다. 필터링을 사용하여 보안 운영 센터(SOC) 직원이 지원할 수 있는 관리 가능한 양의 경보를 수집합니다.
    주:
    다음 예는 Alarm status-does-not-contain-Closed 가 기본 설정인 기본 필터 설정을 보여줍니다. 이 필터는 활성 경보만 가져오며 이 설정은 끌어온 경보 수를 줄입니다. 다음 단계는 심각도 또는 우선 순위 값이 가장 높은 경보만 포함하는 또 다른 유용한 필터를 추가하는 방법을 보여줍니다.

    프로시저

    1. 필터링 기준을 편집하려면 조건에 따라 필터링 확인란을 선택합니다.
      조건을 기준으로 필터링 확인란이 선택되고 강조 표시됩니다.
    2. 필터 조건 필드 오른쪽에서 OR 또는 AND 클릭합니다.
    3. 표시되는 새 줄의 선택 목록에서 필터링 조건을 선택합니다.

      다음 이미지는 위험 기반 우선 순위(RBP max)가 50보다 큰 조건에 추가된 추가 필터를 보여 줍니다. 이 필터 설정을 사용하면 위험 기반 우선순위 값이 50보다 큰 경보만 LogRhythm 끌어옵니다.

      위험 기반 우선순위가 50보다 큰 경보를 수집하려면 새 필터 조건을 추가합니다.
    4. 모든 중요 LogRhythm 경보 필드가 보안 인시던트에 Now Platform 매핑되었는지 확인하고 경보 수집을 제한하는 필터링 기준을 설정한 후에는 하나를 선택하여 구성을 계속합니다.
      옵션설명
      계속 또는 미리 보기 매핑 구성이 포함된 보안 인시던트의 미리 보기 양식이 표시됩니다.

      진행률 표시줄에서 미리 보기가 선택됩니다. 다음 단계는 매핑된 경보로 보안 인시던트를 확인하는 것입니다.
      업데이트 데이터를 저장하고 경보 프로파일 목록으로 돌아갑니다.
      이전 알람 프로파일 기록이 표시됩니다.
      삭제 이 경보 프로파일을 삭제하고 경보 프로파일 목록이 표시됩니다.

    다음에 수행할 작업

    다음 단계는 보안 인시던트에서 매핑된 필드를 미리 보는 것입니다. 매핑 LogRhythm 된 경보 값으로 보안 인시던트 미리 보기 문서를 참조하십시오.