경보 예약 및 검색 LogRhythm

요코하마 보안 관리

Release

yokohama

ft:locale

ko-KR

ft:publication_title

요코하마 보안 관리

ft:clusterId

security

bundleId

security

workflow

Technology

경보 예약 및 검색 LogRhythm

릴리스 버전: Yokohama

업데이트 날짜 2025년 01월 30일

읽기2분

선택하고 매핑한 경보로 LogRhythm 보안 인시던트를 미리 보고 나면 경보 검색을 예약할 준비가 된 것입니다. 이 단계를 완료하면 알람 프로파일을 활성화할 준비가 된 것입니다.

시작하기 전에

필요한 역할: sn_si.admin

이 태스크 정보

스케줄링을 사용하면 검색을 위해 선택한 알람 유형과 스케줄링을 수정할 수 있습니다. 날짜 범위 또는 특정 경보 ID를 기반으로 수집한 경보를 필터링합니다. 이 단계에서는 과거 경보를 수집할지 여부와 경보 프로파일 구성과 일치하는 향후 경보를 폴링하는 빈도를 결정합니다.

프로시저

진행률 표시줄에서 예약 단계를 클릭합니다.

다음 옵션 중에서 선택하여 경보 검색을 구성합니다.

옵션	설명
증분 경보 검색 사용	기본값은 선택되어 있습니다. 증분 경보를 검색하려면 이 옵션을 선택합니다.
폴링 간격(분)	인스턴스는 Now Platform 클라이언트 콘솔에서 1분마다 새로운 경보를 가져옵니다 LogRhythm . 매핑된 경보가 발견되고 필터링 기준이 일치하면 보안 인시던트가 생성됩니다. 이 설정은 변경할 수 있지만 기본 설정은 서버 부하에 대한 경보 수집의 균형을 맞추고 최신 데이터를 검색합니다.
다음 경보 수집 시간(예상)	현재 경보 프로파일에 대해 다음으로 예약된 수집이 발생할 시기를 표시합니다. 이것은 단지 예상 시간일 뿐입니다.
경보 이력 검색 사용	기본값은 선택 취소되어 있습니다. 이력 데이터를 끌어오지 않습니다. 선택하면 다음 필드가 표시됩니다. 하나를 선택하여 날짜 또는 경보 ID로 검색을 구성합니다. 시작 날짜 가져오기 사용 기본값은 선택 취소되어 있습니다. 끌어오기 날짜를 사용하려면 이 옵션을 선택합니다. 시작 날짜 가져오기 기본값은 선택 취소되어 있습니다. 가져오기 시작 날짜를 설정하려면 이 옵션을 선택합니다. 달력 아이콘을 클릭하여 날짜 및 시간을 입력합니다. 입력한 날짜 및 시간부터 현재 날짜까지 알람을 끌어옵니다. 특정 경보 수집 경보 ID 기본값은 선택 취소되어 있습니다. 특정 경보 경보 ID를 수집하려면 이 옵션을 선택합니다. AlarmID 특정 경보 ID를 입력합니다. 지정된 경보를 끌어오고 여러 경보 ID를 쉼표로 구분하여 입력할 수 있습니다. 주: 기록에 따른 일회성 경보 끌어오기가 완료되면 이 확인란의 선택이 취소됩니다. 기록 경보를 다시 한 번 끌어오기 전에 이 확인란을 다시 선택해야 합니다.

알람 이력 검색을 편집하려면 다음 단계에 따라 알람 검색 날짜 또는 특정 알람 ID를 입력합니다.
1. Enable pulling start date(끌어오기 시작 날짜 사용)를 선택한 다음 Pulling start date(끌어오기 시작 날짜)를 선택합니다.
2. 시작 날짜 가져오기 필드에서 표시되는 달력을 클릭하고 날짜를 선택한 다음 녹색 확인 표시를 선택하여 항목을 저장합니다.
  
  날짜가 표시됩니다.
3. 또는 Ingest specific Alarm ID(s) 옵션을 선택하고 AlarmID 필드에 기록 데이터에 대한 특정 Alarm ID를 입력하여 특정 Alarm ID를 검색합니다.
  
  쉼표로 구분된 경보를 최대 5개까지 입력할 수 있습니다.
4. 업데이트를 클릭합니다.

편집을 계속하거나 구성을 완료하려면 다음 옵션 중 하나를 선택합니다.

옵션	설명
업데이트	데이터를 저장하고 양식에 남아 있습니다.
추가 옵션(진행률 표시줄)	추가 옵션 단계로 이동합니다.
이전	미리 보기 단계로 돌아갑니다.
삭제	이 경보 프로파일을 삭제하고 알람 프로파일 목록이 표시됩니다.

다음에 수행할 작업

진행 중인 경보 수집 및 일회성 검색 상세 정보를 구성한 후 다음 단계는 입니다 경보에 대한 LogRhythm 추가 옵션.