Visualizando o incidente de segurança com valores de alarme mapeados LogRhythm
Depois de concluir a etapa de mapeamento, visualize os valores que você mapeou para os campos no incidente de segurança. Esta etapa de visualização permite que você verifique se mapeou todos os campos de alarme críticos LogRhythm que deseja exibir no incidente de segurança.
Função necessária: sn_si.admin.
Incidente de segurança
Se a visualização do incidente de segurança não for exibida, clique em Visualizar na barra de andamento.
Um exemplo da visualização de todo o incidente de segurança Now Platform é exibido nas duas imagens a seguir. Este exemplo da visualização do incidente de segurança é preenchido com os campos de alarmes LogRhythm mapeados do alarme de amostra 13663.
Na figura a seguir, os campos Item de configuração, Usuário afetado, Prioridade, Grupo de atribuiçãoe Descrição resumida do incidente de segurança são preenchidos.
Na metade inferior do formulário de incidente de segurança, o campo Descrição é preenchido. Na seção Itens relacionados, os campos Item de configuração, Observávele Anotação de trabalho são preenchidos com valores. Se vários valores para esses campos forem mapeados, cada valor será exibido no incidente de segurança, porque cada um desses campos pode aceitar mais de um valor.
Condições de erro na visualização
As mensagens de aviso a seguir podem ser exibidas ao visualizar o incidente de segurança. Se um alarme de amostra não for aprovado nos critérios de filtragem, o incidente de segurança inteiro não será preenchido.
Valor de entrada não encontrado
Se o ID do alarme estiver incluído nas condições de filtragem, uma mensagem de aviso ainda poderá ser exibida se não forem encontrados valores de entrada específicos para determinados campos mapeados. Para o exemplo a seguir, na visualização do registro, suponha que não haja nenhum valor no campo Atribuído a, embora ele tenha sido mapeado.
Para este tipo de mensagem, no registro de mapeamento, verifique se o valor de entrada está correto. Nesse caso, a pessoa no campo Atribuído a no incidente de segurança está incorreta na instância Now Platform. Quando este alarme é ingerido e cria um incidente de segurança com esta condição, os campos com este valor de entrada (Abel Tuter) são deixados em branco no incidente de segurança.
As mensagens restantes em azul são informativas e indicam que esses campos não têm valor para exibir na visualização. Esta visualização permite que o administrador de incidentes de segurança configure o perfil de alarme para verificar se esses campos não devem ter valor na fase inicial de criação porque, em determinados casos, os campos de incidentes de segurança podem ser preenchidos automaticamente mais tarde. Outros erros de mapeamento também são exibidos.
Quando estiver satisfeito com o mapeamento e a visualização do incidente de segurança, escolha um para continuar a configuração.
| Opção | Descrição |
|---|---|
| Clique em Continuar ou Programação na barra de andamento. | Avance para o formulário Programação e recuperação de alarme. Programação e recuperação de alarme é selecionado na barra de andamento. A próxima etapa é programar a recuperação do alarme. |
| Clique em Anterior. | Retorne ao perfil de alarme e continue o mapeamento. |
| Insira outro ID de alarme na lista de seleção ID de alarme de amostra na parte superior do formulário de visualização. | A lista de seleção de ID de alarme de amostra é exibida para cada ID de alarme inserido. Você pode selecionar até cinco alarmes. Esta opção permite visualizar outro ID de alarme LogRhythm em um incidente de segurança. |
Depois de visualizar o incidente de segurança e ficar satisfeito com os resultados, a próxima etapa é Programar e recuperar LogRhythm alarmes.