LogRhythm Alarme planen und abrufen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Nachdem Sie eine Vorschau des Security Incident mit den von Ihnen ausgewählten und zugeordneten LogRhythm Alarmen angezeigt haben, können Sie den Alarmabruf planen. Nachdem Sie diesen Schritt abgeschlossen haben, kann das Alarmprofil aktiviert werden.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Mit der Zeitplanung können Sie die Zeitplanung und die für den Abruf ausgewählten Alarmtypen ändern. Sie filtern die erfassten Alarme basierend auf einem Datumsbereich oder bestimmten Alarm-IDs. Mit diesem Schritt legen Sie fest, ob Sie historische Alarme erfassen möchten und wie oft Sie zukünftige Alarme abfragen, die der Alarmprofilkonfiguration entsprechen.

    Prozedur

    1. Klicken Sie in der Fortschrittsleiste auf den Schritt Zeitplanung.
      Zeitplanung auf Fortschrittsbalken hervorgehoben.
    2. Wählen Sie aus den folgenden Optionen aus, um Ihren Alarmabruf zu konfigurieren.
      OptionBeschreibung
      Inkrementellen Alarmabruf aktivieren Standard ist ausgewählt. Wählen Sie diese Option aus, um inkrementelle Alarme abzurufen.
      Abfrageintervall (in Minuten)

      Die Now Platform -Instanz ruft jede Minute neue Alarme aus der LogRhythm -Client-Konsole ab. Wenn zugeordnete Alarme gefunden werden und die Filterkriterien übereinstimmen, werden Security Incidents erstellt.

      Diese Einstellung kann geändert werden. Die Standardeinstellung gleicht jedoch die Alarmerfassung mit der Serverlast ab und ruft die aktuellen Daten ab.
      Nächste Alarmerfassungszeit (geschätzt) Zeigt an, wann die nächste geplante Erfassung für das aktuelle Alarmprofil erfolgen würde. Dies ist nur eine geschätzte Zeit.
      Historischen Alarmabruf aktivieren Der Standardwert ist deaktiviert. Es werden keine Verlaufsdaten abgerufen.
      Wenn diese Option ausgewählt ist, werden die folgenden Felder angezeigt. Wählen Sie einen aus, um den Abruf nach Datum oder Alarm-ID zu konfigurieren.
      Aktivieren Sie das Startdatum des Abrufs
      Der Standardwert ist deaktiviert. Wählen Sie diese Option aus, um das Abrufdatum zu aktivieren.
      Startdatum wird abgerufen
      Der Standardwert ist deaktiviert. Wählen Sie diese Option aus, um das Startdatum für den Abruf festzulegen. Klicken Sie auf das Kalendersymbol, um ein Datum und eine Uhrzeit einzugeben. Alarme werden ab dem Datum und der Uhrzeit, die Sie eingeben, bis zum aktuellen Datum abgerufen.
      Spezifischen Alarm erfassen Alarm-ID(s)
      Der Standardwert ist deaktiviert. Wählen Sie diese Option aus, um bestimmte Alarm-IDs zu erfassen.
      Alarm-ID(s)
      Geben Sie spezifische Alarm-IDs ein. Sie rufen die angegebenen Alarme ab und können mehrere durch Kommas getrennte Alarm-IDs eingeben.
      Hinweis:
      Nach Abschluss eines historischen, einmaligen Abrufs von Alarmen wird diese Checkbox deaktiviert. Sie müssen dieses Kontrollkästchen erneut aktivieren, bevor Sie einen weiteren einmaligen Abruf historischer Alarme ausführen.
    3. Führen Sie die folgenden Schritte aus, um den historischen Alarmabruf zu bearbeiten, um ein Datum für den Alarmabruf oder eine bestimmte Alarm-ID einzugeben.
      1. Wählen Sie Abrufstartdatum aktivierenund dann Abrufstartdatum aus.
      2. Klicken Sie im Feld Abrufstartdatum auf den angezeigten Kalender, wählen Sie das Datum aus, gefolgt vom grünen Häkchen, um Ihren Eintrag zu speichern.
        Aufgabe: Wählen Sie das Datum im Kalender aus, und speichern Sie es mit einem grünen Häkchen.
        Das Datum wird angezeigt.
      3. Alternativ können Sie die Option Spezifische Alarm-ID(s) erfassen auswählen und im Feld Alarm-ID(s) die spezifischen Alarm-IDs für die Verlaufsdaten eingeben, um bestimmte Alarm-IDs abzurufen.

        Sie können bis zu fünf durch Kommas getrennte Alarme eingeben.

      4. Klicken Sie auf Aktualisieren.
    4. Wählen Sie eine der folgenden Optionen aus, um mit der Bearbeitung fortzufahren oder die Konfiguration abzuschließen.
      OptionBeschreibung
      Aktualisieren Speichern Sie Ihre Daten, und bleiben Sie im Formular.
      Zusätzliche Optionen (in der Fortschrittsleiste) So wechseln Sie zum Schritt Zusätzliche Optionen.
      Zurück Zurück zur Vorschau.
      Löschen Löschen Sie dieses Alarmprofil, und die Alarmprofilliste wird angezeigt.

    Nächste Maßnahme

    Nachdem Sie die Details für „Laufende Alarmerfassung“ und „Einmaliger Abruf“ konfiguriert haben, führen Sie den nächsten Schritt zu Zusätzliche Optionen für LogRhythm Alarme.