Mapper LogRhythm les champs d’alarme aux champs d’incident de sécurité

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Vous mappez les champs d’alarme individuels aux champs d’incident de sécurité. Le mappage préconfiguré peut être modifié et le code couleur fourni pour les champs vous aide à surveiller les alarmes que vous avez déjà mappées. Cette étape vous aide à visualiser l’impact de vos modifications sur les champs de l’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Si vous n’êtes pas familier avec les LogRhythm alarmes, accédez à la LogRhythm console client et passez en revue quelques exemples d’ID d’alarme. Pour l’exemple suivant, LogRhythm les alarmes 9468 et 9474 ont été utilisées pour mapper les alarmes à l’incident de sécurité.

    Pourquoi et quand exécuter cette tâche

    À l’aide de ce formulaire, vous pouvez mapper les règles d’alarme LogRhythm de gauche aux champs d’incident de sécurité de droite.

    La figure suivante montre le mappage par défaut des alarmes préconfiguré pour chaque profil d’alarme. Ce mappage par défaut peut être modifié et, avec ce formulaire, vous pouvez personnaliser les champs qui renseignent l’incident de sécurité. Une fois ce mappage terminé, vous pouvez voir comment l’ajout ou la suppression de champs d’alarme peut impacter les valeurs de champ de l’incident de sécurité.

    Sur le côté gauche de ce formulaire, dans la figure suivante, les règles d’alarme LogRhythm sont décrites. Les valeurs de ces règles d’alarme sont mappées aux champs d’incident de sécurité sur le côté droit du formulaire.

    Procédure

    1. Après avoir créé un profil d’alarme pour LogRhythm, cliquez sur Mappage dans la barre de progression.
    2. Dans le champ Ingestion d’échantillons d’alarme , entrez jusqu’à cinq ID d’échantillons LogRhythm d’alarme séparés par des virgules (9468,9474).
      Tâche : Entrez les alarmes à extraire pour un profil d’alarme.
    3. À côté du champ d’alarme, cliquez sur Extraire les alarmes.

      L’extraction des échantillons d’alarmes peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.

      Une fois que les échantillons d’ID d’alarme sont soumis et extraits avec succès du LogRhythm serveur, les champs d’alarme et leurs valeurs correspondantes sont affichés dans des onglets.
      Remarque :
      Une fois qu’un ID d’alarme est extrait avec succès, le Now Platform peut renvoyer le message suivant : Les nouveaux champs suivants sont disponibles pour le filtrage sous peu. Veuillez recharger ce profil dans quelques minutes si le filtrage basé sur ces champs est requis. itemspacketsin, itemspacketsout.

      Ce message s’affiche lorsque l’alarme unique qui a été extraite contient des noms de champs qui n’ont pas été traités précédemment par le Now Platform. Toutefois, si ce message s’affiche, rechargez le formulaire afin que ces champs soient affichés et disponibles dans les listes de choix de filtres du créateur de conditions lorsque vous êtes prêt à définir des conditions de filtrage.

      L’ingestion de ces échantillons d’alarmes dans la configuration du profil d’alarme vous permet d’éviter le mappage des champs d’alarme à l’incident de sécurité qui ne contiennent aucune valeur. Il aligne également les champs d’alarme avec les valeurs des champs appropriés dans l’incident de sécurité. Cette étape garantit que tous les champs d’alarme critiques sont mappés et qu’aucune valeur de champ n’est manquante sur l’incident de sécurité.

      Pour vous assurer qu’aucune alarme n’est négligée ou dupliquée dans le processus de mappage, les champs d’alarme sont codés par couleur. Un champ d’alarme bleu clair (Account, AlarmRuleID, AlarmStatus, etc.) indique qu’un champ n’est pas encore sélectionné pour le mappage à un incident de sécurité.

      Un champ gris (AlarmDate, AlarmID et AlarmRuleName) indique qu’un champ a déjà été sélectionné et a été mappé à un champ de l’incident de sécurité. Ce codage couleur vous aide à suivre le mappage, car dans certains cas, un champ d’alarme peut être mappé à plusieurs champs sur un incident de sécurité. Par exemple, les champs Observables et Note de travail peuvent avoir plusieurs valeurs.

    4. Pour effacer les données d’échantillon d’alarme, cliquez sur Effacer les données d’échantillon d’alarme.
    5. Pour modifier la configuration par défaut de l’incident de sécurité, procédez comme suit pour ajouter un champ :
      Cet exemple illustre comment rechercher, ajouter un champ et le mapper.
      1. En bas à droite du formulaire, cliquez sur l’icône Plus.
        Un nouveau champ s’affiche.
      2. Dans la colonne Incident de sécurité, sélectionnez un champ disponible dans la liste de choix.

        Dans la liste de choix développée, certains champs sont grisés. Par exemple, la catégorie a un arrière-plan gris, ce qui indique qu’elle a été mappée dans l’incident de sécurité. Semblable au codage couleur des LogRhythm champs d’alarme, ce codage couleur pour les champs d’incident de sécurité garantit que les valeurs des champs d’alarme ne sont pas mappées par inadvertance au même champ d’incident de sécurité.

        Dans l’illustration ci-dessus, la règle d’alarme ${Alarm :classificationName}$ est déjà mappée au champ Catégorie dans l’incident de sécurité de ce profil.

        Remarque :
        Le champ Observable peut être mappé à plus d’un champ sur le même incident de sécurité afin de pouvoir afficher plusieurs observables. De même, les champs Élément de configuration et Notes de travail peuvent être mappés pour afficher plusieurs valeurs.

        Du côté Ingestion d’échantillon d’alarme du formulaire, le bleu indique qu’un champ de règle d’alarme n’a pas été mappé. Le gris indique qu’il a été mappé. Dans la liste de choix du côté du mappage de champ d’incident SIR du formulaire, le blanc indique qu’un champ n’a pas été mappé. Le gris indique qu’un champ a été mappé. Utilisez ce codage couleur pour vous aider à suivre le mappage de vos champs.

        Dans l’illustration ci-dessus, l’utilisateur affecté a été sélectionné dans la liste de choix comme nouveau champ de l’incident de sécurité.

      3. Dans la section Ingestion d’échantillon d’alarme sur le côté gauche du formulaire, cliquez avec le bouton gauche de la souris pour sélectionner l’ID d’alarme souhaité dans le champ expression d’entrée.

        Dans l’illustration ci-dessus, l’option Connexion a été sélectionnée.

      4. Faites-le glisser vers le champ dégagé et relâchez-le.
        Dans la colonne de gauche de la section Mappage de champ d’incident SIR, la nouvelle valeur du champ Utilisateur affecté s’affiche. Dans ce cas, la valeur Connexion de l’alarme LogRhythm s’affiche dans le champ Utilisateur affecté de l’incident de sécurité.
    6. Alternativement, pour entrer manuellement une valeur pour les champs de la colonne Expression d’entrée, placez votre curseur dans le champ d’expression d’entrée et saisissez la valeur d’alarme souhaitée.

      Par exemple, dans l’illustration ci-dessus, un autre champ a été ajouté (Groupe d’affectation) au formulaire d’incident de sécurité et l’affectation d’incident de sécurité a été saisie manuellement dans le champ.

    7. Continuez à modifier le mappage préconfiguré au besoin.
      Si vous avez besoin de convertir des valeurs de champs d’alarme en valeurs prises en charge par les champs de l’incident de sécurité, vous pouvez utiliser l’éditeur de LogRhythm script. Consultez Utiliser l’éditeur de script pour formater LogRhythm les valeurs.

    Que faire ensuite

    Une fois le mappage des champs terminé, l’étape suivante consiste à Filtrer les alarmes pour LogRhythm.