Création d’un profil d’alarme pour LogRhythm

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Dans un profil d’alarme que vous créez et nommez, vous spécifiez les alarmes que vous souhaitez extraire de la LogRhythm console client. Vous définissez également la façon dont ils sont mappés aux champs d’un Now Platform incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    En fonction du profil d’alarme configuré, un profil d’alarme peut ingérer tous les types d’alarmes prêtes à l’emploi, mais vous pouvez utiliser des critères de filtre pour ingérer des types d’alarmes spécifiques. Grâce à cette Now Platform intégration, toutes les règles d’alarme configurées ou spécifiques basées sur le profil créé sont ingérées. Les règles d’alarme, telles que les alarmes de niveau de risque élevé uniquement, peuvent ensuite être filtrées pour spécifier quelles alarmes doivent créer des incidents de sécurité. Avant la création d’incidents de sécurité, les valeurs de champ individuelles des alarmes filtrées sont mappées aux champs correspondants de l’incident Now Platform de sécurité. Cette configuration se fait via un profil d’alarme au sein de votre Now Platform instance.

    Procédure

    1. Accédez à la Tout > Intégration de LogRhythm.
    2. Sélectionnez le module Profils d’alarme LogRhythm pour afficher la liste des profils d’alarme .
      Figure 1. Profil de l'alarme
      Créer un profil d’alarme
    3. Pour créer un nouveau profil d’alarme, cliquez sur Nouveau.
      Un nouveau formulaire de profil d’alarme s’affiche. En haut de la page, dans la barre de progression, le nom est sélectionné. Cette barre suit votre progression au cours de la configuration.
    4. Renseignez les champs du formulaire.
      Tableau 1. Profil de l'alarme
      Champ Description
      Nom Nom du profil d’alarme. Ce nom vous permet d’identifier les types d’alarmes tels que Accès non autorisé (VPN),Programmes malveillants ou Hameçonnage.
      Description brève Texte court pour plus d’informations sur le profil d’alarme, qui peut inclure le type d’alarmes ou une catégorie d’alarme. Un exemple de description : Toutes les alarmes associées à des tentatives d’accès non autorisées à Powershell et Sudo.
      Source Serveur source dans la liste de choix. La liste se compose des LogRhythm configurations que vous avez déjà configurées, par exemple, logrhythm-server-a. Consultez Installer le module d’extension et configurer LogRhythm.
      Commande

      Priorité du profil d’alarme. Ce champ indique l’ordre dans lequel les profils d’alarme sont exécutés lorsque deux profils d’alarme ou plus partagent les conditions de déclenchement.
      Actif Par défaut, cette option n’est pas sélectionnée. Une fois que vous avez terminé toutes les étapes de configuration du profil d’alarme et que vous avez cliqué sur Terminer, vous êtes invité à cocher cette case pour activer le profil d’alarme. Lorsque le profil d’alarme est actif, il déclenche automatiquement des alarmes de la LogRhythm console client.
    5. Cliquez sur Continuer pour enregistrer vos données et passer au formulaire Mappage.

      Si la validation réussit, la page se recharge et le formulaire de mappage s’affiche. Vous ne pouvez pas procéder à la configuration tant que vous n’avez pas validé votre connexion et vos informations d’identification.