Instalar o plug-in e configurar LogRhythm

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Antes de executar a integração em sua instância, conclua as etapas de instalação e configuração para que a aplicação se integre corretamente com Operações de segurança no Now Platform®.

    Antes de Iniciar

    Função necessária: administrador

    Conclua a check-list de configuração a seguir antes da instalação. Essas tarefas de configuração são necessárias para uma instalação e configuração tranquilas. A versão LogRhythm mais recente é 7.8 ou posterior.
    Nota:
    Seus perfis de alarme existentes não serão mais compatíveis com a versão LogRhythm mais recente, portanto, você precisa criar novos perfis de alarme e executar as configurações necessárias.
    Configuração de tarefa Descrição

    Verifique se você atribuiu as funções Now Platform® e Security Incident Response (SIR) necessárias.

    		 As funções a seguir são necessárias para instalação, configuração e verificação dos resultados esperados:
    • O administrador do sistema (admin) instala o plug-in da aplicação e atribui a função de administrador de incidentes de segurança (sn_si.admin).
    • O (sn_si.admin) supervisiona as seguintes tarefas:
      • Nomeia, cria e edita perfis de alarme.
      • Mapeia e filtra alarmes: identifica LogRhythm alarmes específicos que criam incidentes de segurança e configura como esses campos de alarme são mapeados para um Now Platform® incidente de segurança.
      • Visualiza os detalhes do incidente de segurança para precisão antes de finalizar a configuração.
      • Ingere alarmes históricos e programa alarmes extraídos.
      • Atribui a função de analista de incidentes de segurança (sn_si.analyst).
      • Esta função também tem acesso ao módulo Operações de segurança.
    • O analista de incidentes de segurança (sn_si.analyst) responde a incidentes de segurança que são criados com base nas configurações de perfil de alarme.

    Obtenha um nome de usuário e senha de API LogRhythm e verifique se você está usando a versão LogRhythm 7.8 ou posterior.

    		 Visite o site do produto para obter informações sobre chaves de API e para criar uma conta: Site do LogRhythm Enterprise. As contas de usuário, credenciais e certificados devem ser configurados corretamente antes de instalar a aplicação.

    A integração requer LogRhythm versão 7.8 ou posterior e as LogRhythm REST APIs.

    Consulte Configurar a REST API para LogRhythm.
    Verifique se você instalou e configurou um MID Server.

    Um MID Server é necessário em seu ambiente Now Platform. Consulte o site de documentação do produto da ServiceNow para obter informações sobre como instalar e configurar MID Servers.

    Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração estão instaladas e ativadas antes de instalar a aplicação para a integração.

    Para a versão Rome e as versões posteriores da família, o plug-in Security Incident Response Dependency (com.snc.si_dep) é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar as outras Operações de segurança aplicações necessárias para a integração.

    Verifique se as Operações de segurança aplicações a seguir estão instaladas e ativadas a partir do ServiceNow Store. Se não estiver instalado, instale e ative uma aplicação de cada vez na seguinte ordem para garantir uma instalação sem problemas.

    1. Resposta a incidentes de segurança
    2. Estrutura de integração de segurança
    3. Security Support Common
    4. Orquestração de suporte de segurança

    Para obter mais informações sobre como configurar sua instância Now Platform para a integração, consulte e .
    Importante:
    Se você tiver problemas de conectividade com o console do cliente LogRhythm, consulte Verificar conectividade para LogRhythm.

    Procedimento

    1. Se você não instalou a aplicação para a integração, consulte e siga as etapas para instalá-la.
    2. Quando a instalação for concluída, navegue até Integrações > Configurações de integrações e localize o bloco LogRhythm.
    3. Clique em Configurar.
      Tarefa: clique no botão Configurar para LogRhythm.
    4. Clique no link Nova configuração.
      Tarefa: clique no link Nova configuração.
    5. No formulário, preencha os campos:
      Tabela 1. Configuração da LogRhythm
      Campo Descrição
      Nome LogRhythm nome do servidor, por exemplo, logrhythm-server-a.
      URL base URL base que hospeda a LogRhythm REST API.

      O MID Server permite o acesso à rede onde o Console do cliente LogRhythm está hospedado. Este URL é onde o servidor LogRhythm está hospedado nessa rede. Clique no ícone de cadeado no lado direito para editar o campo e inserir o texto para um URL, por exemplo, https://logrhythm.secops-eng.com:8501/.
      Token de API Insira o token que está associado à REST API que você criou no LogRhythm Console do cliente.
      Implantação no local Opção para selecionar se for uma implantação LogRhythm no local.
      MID Server MID Server específico que está configurado em seu ambiente. Somente os MID Servers que estão ativos e foram validados estão disponíveis nesta lista de seleção.

      A figura a seguir é um exemplo de um formulário preenchido.

      Um formulário de configuração da LogRhythm preenchido.
    6. Clique em Validar e salvar.
      Depois que a validação for concluída com sucesso, uma mensagem será exibida e a página LogRhythm Configurações será recarregada. A próxima etapa é criar um perfil de alarme.

    O que Fazer Depois

    Depois de concluir com sucesso a validação, a próxima etapa é para Como criar um perfil de alarme para LogRhythm.