LogRhythm-Übersicht

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die Zuordnungsflexibilität dieser Integration bietet einem Analysten Einblick in Events und zugehörige Alarmdaten, die zur weiteren Untersuchung und Korrektur in Now Platform Security Incidents integriert werden können.

    Alarmprofile werden in Ihrer Instanz Now Platform erstellt, um anzupassen, wie verschiedene LogRhythm Alarmfelder in einem Security Incident von Now Platform angezeigt werden. Eine Standardzuordnung von Alarmfeldern wird bereitgestellt, die entsprechend den kundenspezifischen Anforderungen bearbeitet werden kann.

    Die folgende Abbildung zeigt ein Beispiel für eine Kundenumgebung. Wenn ein Event die Erstellung eines Security Incident in der Now Platform® -Instanz auslöst, wird von Ihrer Now Platform® -Instanz eine Anforderung gesendet, Alarme aus der LogRhythm -Client-Konsole entweder über einen MID-Server oder sogar ohne MID-Server abzurufen.

    Der REST-API-Schlüssel wird von Now Platform® zur Authentifizierung bei der Clientkonsole von LogRhythm verwendet. Über diese Verbindung kann Ihre Instanz Now Platform einzelne LogRhythm -Alarme basierend auf konfigurierten Profilen abrufen.

    Die REST-API wird verwendet, um Nachrichtendetails zu erfassen, auf die die REST-API nicht zugreift.

    Abbildung : 1. LogRhythm-Integration
    Eine Kundenumgebung.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden wichtigen Funktionen:

    • Flexibilität zum Erstellen mehrerer Alarmprofile für verschiedene Alarmtypen wie Phishing und Malware.
    • Drag-and-Drop-Zuordnung von LogRhythm Alarmfeldwerten zu zugeordneten SIR Security Incident-Feldern.
    • Eine Vorschau des SIR Security Incident-Layouts basierend auf LogRhythm Beispielalarmen.
    • Erfassen Sie historische Alarme sowie laufende zukünftige Alarme in konfigurierbaren Intervallen.
    • Automatisierter LogRhythm Alarmabschluss nach Incident-Abschluss von SIR. Eine URL zum Incident SIR sowie eine Incident-ID werden als Referenz bereitgestellt.

    Unterstützte Releases von Now Platform

    Diese Integration ist mit Quebec oder späteren Releases von Now Platform®kompatibel.

    Unterstützte Versionen von LogRhythm

    Diese Integration ist mit LogRhythm 7.8 oder höher kompatibel. Die früheren Versionen werden aufgrund von API-Einschränkungen nicht unterstützt.

    Hinweis:
    Die folgenden Themen sind nummeriert. Um eine reibungslose Installation zu gewährleisten und die erwarteten Ergebnisse zu überprüfen, befolgen Sie die Themen in der Reihenfolge, in der sie angezeigt werden.