Planifier et récupérer LogRhythm des alarmes

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Une fois que vous avez prévisualisé l’incident de sécurité avec les alarmes que vous avez sélectionnées et mappées, vous êtes prêt à planifier la LogRhythm récupération d’alarme. Une fois que vous avez terminé cette étape, le profil d’alarme est prêt à être activé.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    La planification vous permet de modifier la planification et les types d’alarmes sélectionnés pour la récupération. Vous filtrez les alarmes que vous ingérez en fonction d’une plage de dates ou d’ID d’alarmes spécifiques. Cette étape vous permet de déterminer si vous souhaitez ingérer des alarmes historiques et à quelle fréquence vous interrogez pour obtenir les alarmes futures qui correspondent à la configuration du profil d’alarme.

    Procédure

    1. Cliquez sur l’étape Planification dans la barre de progression.
      Planification mise en surbrillance sur la barre de progression.
    2. Choisissez parmi les options suivantes pour configurer votre récupération d’alarme.
      OptionDescription
      Activer la récupération d'alarme de pas Cette option est sélectionnée par défaut. Sélectionnez cette option pour récupérer les alarmes incrémentielles.
      Intervalle d’interrogation (en minutes)

      L’instance Now Platform est extraite de la LogRhythm console client pour de nouvelles alarmes toutes les minutes. Si des alarmes mappées sont trouvées et que les critères de filtrage correspondent, des incidents de sécurité sont créés.

      Ce paramètre peut être modifié, cependant, le paramètre par défaut équilibre l’ingestion d’alarme par rapport à la charge du serveur et récupère les données les plus récentes.
      Temps d'ingestion de la prochaine alerte (estimation) Affiche la date de la prochaine ingestion planifiée pour le profil d’alarme actuel. Il ne s’agit que d’une estimation du temps.
      Activer la récupération d'alarme historique La valeur par défaut est effacée. Aucune donnée historique n’est extraite.
      Si cette option est sélectionnée, les champs suivants sont affichés. Choisissez-en un pour configurer la récupération par date ou ID d’alarme.
      Activer la date de début de déclenchement
      La valeur par défaut est effacée. Sélectionnez cette option pour activer la date d’extraction.
      Date de début de déclenchement
      La valeur par défaut est effacée. Sélectionnez cette option pour définir la date de début de l’extraction. Cliquez sur l’icône Calendrier pour saisir une date et une heure. Les alarmes sont extraites de la date et de l’heure que vous saisissez jusqu’à la date actuelle.
      Ingérer une alarme spécifique ID d’alarme(s)
      La valeur par défaut est effacée. Sélectionnez cette option pour ingérer des ID d’alarmes spécifiques.
      AlarmID(s)
      Entrez des ID d’alarme spécifiques. Vous tirez les alarmes spécifiées et vous pouvez entrer plusieurs ID d’alarme séparés par des virgules.
      Remarque :
      Une fois qu’une extraction unique et historique d’alarmes est terminée, cette case à cocher est décochée. Vous devrez cocher cette case à nouveau avant d’exécuter une autre extraction ponctuelle des alarmes historiques.
    3. Pour modifier la récupération d’alarme historique, procédez comme suit pour entrer une date de récupération d’alarme ou un ID d’alarme spécifique.
      1. Sélectionnez Activer la date de début de déclenchement, puis sélectionnez Date de début de déclenchement.
      2. Dans le champ Date de début d’extraction , cliquez sur le calendrier qui s’affiche, sélectionnez la date suivie de la coche verte pour enregistrer votre saisie.
        Tâche : Sélectionnez la date dans le calendrier et enregistrez-la avec la coche verte.
        La date s’affiche.
      3. Vous pouvez également sélectionner l’option Ingérer un ou plusieurs ID d’alarme spécifiques et, dans le champ ID d’alarme, saisir les ID d’alarme spécifiques pour les données historiques afin de récupérer des ID d’alarme spécifiques.

        Vous pouvez saisir jusqu’à cinq alarmes séparées par des virgules.

      4. Cliquez sur Mettre à jour.
    4. Choisissez l’une des options suivantes pour poursuivre la modification ou terminer la configuration.
      OptionDescription
      Mettre à jour Enregistrez vos données et restez sur le formulaire.
      Options supplémentaires (dans la barre de progression) Pour accéder à l’étape Options supplémentaires.
      Précédent Revenir à l’étape d’aperçu.
      Supprimer Supprimez ce profil d’alarme et la liste des profils d’alarme s’affiche.

    Que faire ensuite

    Une fois que vous avez configuré les détails de l’ingestion d’alarme en cours et de la récupération unique, l’étape suivante consiste à Options supplémentaires pour LogRhythm les alarmes.