Opções adicionais para LogRhythm alarmes

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • A integração LogRhythm Enterprise fornece a capacidade de atualizar ou fechar automaticamente os alarmes LogRhythm com base nos incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Quando você habilita a opção Atualizações iniciais do alarme, os alarmes são atualizados automaticamente nos comentários do LogRhythm com as atualizações do alarme inicial. Da mesma forma, quando você habilita a opção Atualizações de fechamento do alarme, os alarmes são fechados automaticamente no LogRhythm junto com o Código de fechamento SIR e os comentários de fechamento.

    O ID do alarme LogRhythm está conectado ao ID do incidente de segurança Now Platform ao longo do ciclo de vida do incidente. Essa correlação permite que ocorra um fechamento simultâneo e automatizado de incidente/alarme de segurança. Quando o registro de incidente de segurança Security Incident Response (SIR) é fechado, há um comentário publicado no alarme no console da Web LogRhythm. Este comentário indica que o alarme foi encerrado com base no fechamento do Now Platform incidente de segurança. O número do incidente e um URL que leva de volta ao incidente de segurança para referência também estão incluídos na seção de comentários no alarme LogRhythm.

    Procedimento

    1. Clique na etapa Opções adicionais na barra de andamento.
    2. Para usar a atualização de alarme automatizada para a criação de incidente de SIR, escolha uma das opções a seguir para configurar a recuperação do alarme.
      OpçãoDescrição
      Atualizar alarmes da LogRhythm após a criação de incidente de SIR O padrão é desmarcado. Selecione esta opção para atualizar automaticamente os alarmes LogRhythm quando o incidente de SIR for criado.
      Comentários iniciais retornados para o alarme da LogRhythm

      Indica os comentários iniciais publicados para o alarme LogRhythm.

      Edite o texto padrão exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente SIR.

      Por exemplo, o incidente de segurança relacionado da ServiceNow, ${Number}$ foi criado e atribuído a ${Assignment group}$. Detalhes adicionais podem ser encontrados no incidente de segurança localizado aqui - ${URL}$.
    3. Para usar a atualização de alarme automatizada para o fechamento do incidente de SIR, escolha uma das opções a seguir para configurar a recuperação do alarme.
      OpçãoDescrição
      Fechar alarmes da LogRhythm após o fechamento do incidente de SIR O padrão é desmarcado. Selecione esta opção para fechar automaticamente os alarmes LogRhythm quando o incidente de SIR for fechado.
      Comentários de fechamento retornados para o alarme da LogRhythm

      Indica os comentários de fechamento publicados para o alarme LogRhythm.

      Edite o texto padrão exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente SIR.

      Por exemplo, o incidente de segurança relacionado da ServiceNow, ${Number}$ foi encerrado pelo SOC Analyst-${Closed by}$ com as seguintes notas de fechamento - ${Close notes}$. Detalhes adicionais podem ser encontrados no incidente de segurança localizado aqui - ${URL}$.
    4. Clique em Concluir para salvar o perfil de alarme.
    Se você não vir anotações indicando que o alarme foi encerrado com sucesso no incidente de segurança, revise as anotações de trabalho para obter mais informações sobre como prosseguir para corrigir o problema. Além disso, verifique a conexão do servidor. Se você confirmar que o incidente de segurança Now Platform foi encerrado e o servidor não expirou, talvez seja necessário fechar manualmente o alarme no LogRhythm Console da web.