Filtrar alarmes para LogRhythm

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Definir critérios de filtragem para alarmes depois de mapear os campos ajuda a determinar quais alarmes devem ser incluídos na aplicação SIR. Filtrar alarmes ajuda a reduzir significativamente o número de alarmes que você ingere quando o perfil de alarme é ativado.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Use as condições de filtragem na parte inferior do formulário de mapeamento para filtrar alarmes específicos ou limitar a ingestão somente para alarmes que atendam a determinados critérios no nível de campo. A filtragem reduz significativamente o número de alarmes que você ingere depois que o perfil de alarme é ativado. Use a filtragem para incluir uma quantidade gerenciável de alarmes que sua equipe do Security Operations Center (SOC) pode oferecer.
    Nota:
    O exemplo a seguir mostra uma configuração de filtro padrão na qual Status-does-not-contain-Closed do alarme é a configuração padrão. Este filtro extrai somente alarmes ativos e essa configuração reduz o número de alarmes extraídos. As etapas a seguir ilustram como adicionar outro filtro útil que inclui somente alarmes com os valores de severidade ou prioridade mais altos.

    Procedimento

    1. Para editar os critérios de filtragem, marque a caixa de seleção Filtrar com base nas condições.
      Filtrar com base na caixa de seleção de condições marcada e realçada.
    2. À direita do campo Condições do filtro, clique em OU ou E.
    3. Na nova linha exibida, selecione as condições de filtragem nas listas de seleção.

      A imagem a seguir mostra um filtro adicional adicionado aos critérios nos quais a prioridade baseada em risco (RBP máx) é maior que 50. Com esta configuração de filtro, somente LogRhythm alarmes com um valor de prioridade baseado em risco maior que 50 são extraídos.

      Adicione uma nova condição de filtro para ingerir alarmes com uma prioridade baseada em risco maior que 50.
    4. Depois de verificar se todos os campos de alarme críticos LogRhythm estão mapeados para o incidente de segurança Now Platform e de definir critérios de filtragem para limitar a ingestão de alarmes, escolha um para continuar a configuração.
      OpçãoDescrição
      Continuar ou Visualizar O formulário Visualização do incidente de segurança com sua configuração de mapeamento é exibido.

      Avisualização é selecionada na barra de andamento. A próxima etapa é exibir o incidente de segurança com os alarmes mapeados.
      Atualizar Salve seus dados e retorne à lista Perfis de alarme.
      Anterior O registro do perfil de alarme é exibido.
      Deletar Exclua este perfil de alarme e a lista Perfis de alarme será exibida.

    O que Fazer Depois

    A próxima etapa é visualizar os campos mapeados no incidente de segurança. Consulte Visualizando o incidente de segurança com valores de alarme mapeados LogRhythm.