Mapper LogRhythm les alarmes à l’incident de sécurité

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Après avoir sélectionné la LogRhythm source que vous souhaitez ingérer, vous devez mapper les champs d’alarme individuels LogRhythm aux champs d’incident Now Platform de sécurité.

    Le mappage des alarmes comprend les tâches suivantes :
    • Cartographier LogRhythm les alarmes. Pour cette tâche, vous répertoriez et ingérez (transmettez par pull) des échantillons d’alarmes à l’aide des ID d’alarme ou des alarmes les plus récentes de la LogRhythm console client.
    • Les champs Échantillon d’alarme sont classés en trois groupes :
      • Champs d’alarme : Les champs d’alarme disponibles et leurs valeurs correspondantes sont affichés.
      • Champs d’événement : les champs d’événement disponibles et leurs valeurs correspondantes sont affichés.
      • Champs DrillDownLog : les champs du journal d’exploration qui sont disponibles et leurs valeurs correspondantes sont affichés.
    • Chaque ID d’alarme que vous avez extrait s’affiche sous la forme d’un onglet. Dans les onglets ID d’alarme, vérifiez que tous les champs d’alarme critiques de la section Ingestion d’échantillon d’alarme à gauche du formulaire sont mappés à la section Mappage de champ d’incident SIR à droite du formulaire.
    • Après avoir mappé les alarmes au champ Mappage de champ d’incident SIR , vous pouvez voir la catégorie d’alarme également affichée dans le champ Expression d’entrée . Par exemple, ${Alarm : alarmid}$.
    • Vous pouvez modifier la configuration en ajoutant ou en supprimant des champs sur l’incident de sécurité. Suivez les champs négligés ou dupliqués avec le codage couleur fourni.
    • Vous pouvez filtrer les alarmes pour spécifier quelles alarmes sont ingérées dans l’application SIR. Vous pouvez filtrer les alarmes directement ou utiliser les catégories d’alarmes pour approfondir votre recherche en fonction des alarmes, des événements ou des journaux d’exploration.
    • Utilisez l’éditeur de script si vous souhaitez formater les valeurs des champs Priorité et Catégorie de l’incident de sécurité.

    L’étape suivante consiste à Mapper LogRhythm les champs d’alarme aux champs d’incident de sécurité.