Programar e recuperar LogRhythm alarmes

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Depois de visualizar o incidente de segurança com os alarmes LogRhythm que você selecionou e mapeou, você está pronto para programar a recuperação do alarme. Depois de concluir esta etapa, o perfil de alarme está pronto para ser ativado.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    A programação permite modificar a programação e os tipos de alarmes selecionados para recuperação. Você filtra os alarmes ingeridos com base em um intervalo de datas ou em IDs de alarme específicos. Com esta etapa, você determina se deseja ingerir alarmes históricos e com que frequência pesquisa alarmes futuros que correspondam à configuração do perfil do alarme.

    Procedimento

    1. Clique na etapa Programação na barra de andamento.
      Programação realçada na barra de andamento.
    2. Escolha uma das opções a seguir para configurar a recuperação do alarme.
      OpçãoDescrição
      Habilitar recuperação de alarme incremental O padrão é selecionado. Selecione esta opção para recuperar alarmes incrementais.
      Intervalo de pesquisa (em minutos)

      A instância Now Platform extrai do console do cliente LogRhythm para novos alarmes a cada um minuto. Se os alarmes mapeados forem encontrados e os critérios de filtragem forem correspondidos, os incidentes de segurança serão criados.

      Esta configuração pode ser alterada, no entanto, a configuração padrão equilibra a ingestão de alarmes em relação à carga do servidor e recupera os dados mais atuais.
      Próximo período de ingestão de alarmes (estimado) Exibe quando a próxima ingestão programada ocorreria para o perfil de alarme atual. Este é apenas um tempo estimado.
      Habilitar recuperação de alarme histórico O padrão é desmarcado. Nenhum dado histórico é extraído.
      Se selecionado, os seguintes campos serão exibidos. Escolha um para configurar a recuperação por data ou ID de alarme.
      Habilitar data de início da extração
      O padrão é desmarcado. Selecione esta opção para habilitar a data de extração.
      Data de início da extração
      O padrão é desmarcado. Selecione esta opção para definir a data de início da extração. Clique no ícone de calendário para inserir uma data e hora. Os alarmes são extraídos da data e hora inseridas até a data atual.
      ID(s) de alarme específico(s) de ingestão
      O padrão é desmarcado. Selecione esta opção para ingerir IDs de alarme específicos.
      ID(s) de Alarme(s)
      Insira IDs de alarme específicos. Você extrai os alarmes especificados e pode inserir vários IDs de alarme separados por vírgulas.
      Nota:
      Depois que uma extração única e histórica de alarmes é concluída, esta caixa de seleção é desmarcada. Você precisará marcar esta caixa de seleção novamente antes de executar outra extração única de alarmes históricos.
    3. Para editar a recuperação de alarmes históricos, siga estas etapas para inserir uma data para a recuperação do alarme ou um ID de alarme específico.
      1. Selecione Habilitar datade início da extração e selecione Data de início da extração.
      2. No campo Data de início da extração, clique no calendário exibido, selecione a data seguida da marca de seleção verde para salvar sua entrada.
        Tarefa: selecione a data no calendário e salve-a com a marca de seleção verde.
        A data é exibida.
      3. Como alternativa, selecione a opção Ingerir ID(s) de alarme específico(s) e, no campo ID(s) de alarme, insira os IDs de alarme específicos dos dados históricos para recuperar IDs de alarme específicos.

        Você pode inserir até cinco alarmes separados por vírgulas.

      4. Clique em Atualizar.
    4. Escolha uma das opções a seguir para continuar editando ou concluir a configuração.
      OpçãoDescrição
      Atualizar Salve seus dados e permaneça no formulário.
      Opções adicionais (na barra de andamento) Para ir para a etapa Opções adicionais.
      Anterior Retorne à etapa Visualização.
      Deletar Exclua este perfil de alarme e a lista de perfis de alarme será exibida.

    O que Fazer Depois

    Depois de configurar os detalhes de Ingestão de alarme contínuo e Recuperação única, a próxima etapa é Opções adicionais para LogRhythm alarmes.