Installieren Sie das Plugin, und konfigurieren Sie LogRhythm

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Bevor Sie die Integration in Ihrer Instanz ausführen, führen Sie die Installations- und Konfigurationsschritte durch, damit die Anwendung ordnungsgemäß mit Security Operations auf dem Now Platform®integriert wird.

    Vorbereitungen

    Erforderliche Rolle: admin

    Führen Sie vor der Installation die folgende Setup-Prüfliste aus. Diese Setup-Aufgaben sind für eine reibungslose Installation und Konfiguration erforderlich. Die neueste Version von LogRhythm ist 7.8 oder höher.
    Hinweis:
    Ihre vorhandenen Alarmprofile werden in der aktuellen Version LogRhythm nicht mehr unterstützt. Daher müssen Sie neue Alarmprofile erstellen und die erforderlichen Konfigurationen vornehmen.
    Setupaufgabe Beschreibung

    Vergewissern Sie sich, dass Sie die erforderlichen Rollen Now Platform® und Security Incident Response (SIR) zugewiesen haben.

    		 Die folgenden Rollen sind für die Installation, Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Der Systemadministrator (admin) installiert das Anwendungs-Plugin und weist die Rolle „Security Incident-Administrator“ (sn_si.admin) zu.
    • (sn_si.admin) überwacht die folgenden Aufgaben:
      • Benennt, erstellt und bearbeitet Alarmprofile.
      • Ordnet Alarme zu und filtert sie – identifiziert bestimmte LogRhythm Alarme, die Security Incidents erstellen, und konfiguriert, wie diese Alarmfelder einem Now Platform® Security Incident zugeordnet werden.
      • Zeigt eine Vorschau der Details zu Security Incidents auf Richtigkeit an, bevor die Konfiguration abgeschlossen wird.
      • Erfasst historische Alarme und plant abgerufene Alarme.
      • Weist die Rolle Security Incident Analyst (sn_si.analyst) zu.
      • Diese Rolle hat auch Zugriff auf das Modul Security Operations.
    • Der Security Incident-Analyst (sn_si.analyst) reagiert auf Security Incidents, die basierend auf den Alarmprofileinstellungen erstellt werden.

    Rufen Sie einen API-Benutzernamen und ein Passwort von LogRhythm ab, und vergewissern Sie sich, dass Sie Version LogRhythm 7.8 oder höher verwenden.

    		 Besuchen Sie die Produktwebsite, um Informationen zu API-Schlüsseln zu erhalten und ein Konto zu erstellen: LogRhythm Enterprise-Website. Die Benutzerkonten, Anmeldeinformationen und Zertifikate müssen vor der Installation der Anwendung ordnungsgemäß konfiguriert werden.

    Die Integration erfordert LogRhythm Version 7.8 oder höher und die LogRhythm REST APIs.

    Weitere Informationen finden Sie unter Richten Sie die REST-API für ein LogRhythm.
    Vergewissern Sie sich, dass Sie einen MID Server installiert und konfiguriert haben.

    In Ihrer Now Platform -Umgebung ist ein MID Server erforderlich. Auf der Website der ServiceNow-Produktdokumentation finden Sie Informationen zum Einrichten und Konfigurieren von MID Servern.

    Vergewissern Sie sich, dass die Kernanwendungen ServiceNow, die zur Unterstützung der Integration erforderlich sind, installiert und aktiviert sind, bevor Sie die Anwendung für die Integration installieren.

    Für das Rome-Release und spätere Familien-Releases ist das Plugin Security Incident Response Dependency (com.snc.si_dep) erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen für die Integration erforderlichen Security Operations -Anwendungen installieren und aktivieren.

    Vergewissern Sie sich, dass die folgenden Security Operations -Anwendungen über ServiceNow Store] installiert und aktiviert wurden. Wenn nicht installiert ist, installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten.

    1. Security Incident Response
    2. Security Integration Framework
    3. Security Support Common
    4. Security Support Orchestration

    Weitere Informationen zum Einrichten der Instanz Now Platform für die Integration finden Sie unter Rufen Sie eine Berechtigung für ein Produkt oder eine Anwendung von Security Operations ab und Aktivieren Sie eine Anwendung ServiceNow Store ..
    Wichtig:
    Bei Konnektivitätsproblemen mit der Clientkonsole LogRhythm finden Sie weitere Informationen unter Überprüfen Sie die Konnektivität für LogRhythm.

    Prozedur

    1. Wenn Sie die Anwendung für die Integration nicht installiert haben, lesen Sie Installieren Sie eine Security Operations -Integration, und führen Sie die Schritte aus, um sie zu installieren.
    2. Navigieren Sie nach Abschluss der Installation zu Integrationen > Integrationskonfigurationen und suchen Sie die Kachel LogRhythm.
    3. Klicken Sie auf Konfigurieren.
      Aufgabe: Klicken Sie auf die Schaltfläche Konfigurieren für LogRhythm.
    4. Klicken Sie auf den Link Neue Konfiguration.
      Aufgabe: Klicken Sie auf den Link Neue Konfiguration.
    5. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. LogRhythm-Konfiguration
      Feld Beschreibung
      Name LogRhythm Servername, z. B. logrhythm-server-a.
      Basis-URL Basis-URL, die die REST-API LogRhythm hostet.

      Der MID Server ermöglicht den Zugriff auf das Netzwerk, in dem die LogRhythm-Clientkonsole gehostet wird. Diese URL ist der Ort, an dem der Server LogRhythm in diesem Netzwerk gehostet wird. Klicken Sie rechts auf das Schlosssymbol, um das Feld zu bearbeiten und Text für eine URL einzugeben, z. B. https://logrhythm.secops-eng.com:8501/.
      API-Token Geben Sie das Token ein, das Ihrer REST API zugeordnet ist, die Sie in der Clientkonsole LogRhythm erstellt haben.
      Lokale Bereitstellung Option zur Auswahl, ob es sich um eine LogRhythm lokale Bereitstellung handelt.
      MID-Server Spezifischer MID Server, der in Ihrer Umgebung eingerichtet ist. Nur die aktiven und validierten MID Server sind in dieser Auswahlliste verfügbar.

      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular.

      Ein ausgefülltes LogRhythm-Konfigurationsformular.
    6. Klicken Sie auf Validieren und speichern.
      Nachdem die Validierung erfolgreich abgeschlossen wurde, wird eine Meldung angezeigt, und die Seite LogRhythm „ Konfigurationen“ wird neu geladen. Der nächste Schritt besteht darin, ein Alarmprofil zu erstellen.

    Nächste Maßnahme

    Nachdem Sie die Validierung erfolgreich abgeschlossen haben, ist der nächste Schritt Erstellen eines Alarmprofils für LogRhythm.