Erstellen eines Alarmprofils für LogRhythm

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • In einem Alarmprofil, das Sie erstellen und benennen, geben Sie an, welche Alarme Sie aus der LogRhythm Client-Konsole abrufen möchten. Sie definieren auch, wie sie Feldern in einem Now Platform Security Incident zugeordnet werden.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Basierend auf dem konfigurierten Alarmprofil kann ein Alarmprofil standardmäßig alle Arten von Alarmen erfassen. Sie können jedoch Filterkriterien verwenden, um bestimmte Alarmtypen zu erfassen. Mit dieser Now Platform -Integration werden alle konfigurierten Alarmregeln oder bestimmte Alarmregeln basierend auf dem erstellten Profil erfasst. Alarmregeln, z. B. nur Alarme mit hoher Risikostufe, können dann gefiltert werden, um anzugeben, welche Alarme Security Incidents erzeugen sollen. Bevor Security Incidents erstellt werden, werden einzelne Feldwerte in den gefilterten Alarmen den entsprechenden Feldern im Security Incident Now Platform zugeordnet. Diese Konfiguration erfolgt über ein Alarmprofil in Ihrer Now Platform -Instanz.

    Prozedur

    1. Navigieren zu Alle > LogRhythm Integration.
    2. Wählen Sie das Modul „LogRhythm - Alarmprofile “ aus, um die Liste der Alarmprofile anzuzeigen.
      Abbildung : 1. Alarmprofil
      Erstellen Sie ein Alarmprofil
    3. Um ein neues Alarmprofil zu erstellen, klicken Sie auf Neu.
      Ein neues Alarmprofilformular wird angezeigt. Oben auf der Seite wird in der Fortschrittsleiste Name ausgewählt. Diese Leiste verfolgt Ihren Fortschritt während der Konfiguration.
    4. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. Alarmprofil
      Feld Beschreibung
      Name Name für das Alarmprofil. Anhand dieses Namens können Sie die Alarmtypen identifizieren, z. B. Nicht autorisierter Zugriff (VPN), Malwareoder Phishing.
      Kurzbeschreibung Kurztext für zusätzliche Informationen zum Alarmprofil, die den Typ der Alarme oder eine Alarmkategorie enthalten können. Eine Beispielbeschreibung: Alle Alarme, die nicht autorisierten PowerShell- und Sudo-Zugriffsversuchen zugeordnet sind.
      Quelle Quellserver aus der Auswahlliste. Die Liste besteht aus LogRhythm Konfigurationen, die Sie bereits eingerichtet haben, z. B. logrhythm-server-a. Weitere Informationen finden Sie unter Installieren Sie das Plugin, und konfigurieren Sie LogRhythm.
      Reihenfolge

      Priorität des Alarmprofils. Dieses Feld gibt die Reihenfolge an, in der die Alarmprofile ausgeführt werden, wenn zwei oder mehr Alarmprofile die Auslösebedingungen gemeinsam nutzen.
      Aktiv Standardmäßig ist diese Option nicht ausgewählt. Nachdem Sie alle Schritte zum Einrichten von Alarmprofilen abgeschlossen und auf Fertigstellen geklickthaben, werden Sie aufgefordert, dieses Kontrollkästchen zu aktivieren, um das Alarmprofil zu aktivieren. Wenn das Alarmprofil aktiv ist, werden Alarme automatisch aus der LogRhythm Client-Konsole abgerufen.
    5. Klicken Sie auf Fortsetzen, um Ihre Daten zu speichern und mit dem Zuordnungsformular fortzufahren.

      Wenn die Validierung erfolgreich ist, wird die Seite neu geladen, und das Zuordnungsformular wird angezeigt. Sie können erst mit der Konfiguration fortfahren, nachdem Sie Ihre Verbindung und Ihre Anmeldeinformationen erfolgreich validiert haben.