Mapper LogRhythm les champs d’alarme aux champs d’incident de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Vous mappez les champs d’alarme individuels aux champs d’incident de sécurité. Le mappage préconfiguré peut être modifié et le code couleur fourni pour les champs vous aide à surveiller les alarmes que vous avez déjà mappées. Cette étape vous permet de visualiser l’impact de vos modifications sur les champs de l’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Si vous n’êtes pas familier avec les LogRhythm alarmes, accédez à la LogRhythm console client et passez en revue quelques exemples d’ID d’alarme. Pour l’exemple suivant, LogRhythm les alarmes 9468 et 9474 ont été utilisées pour mapper les alarmes à l’incident de sécurité.

    Pourquoi et quand exécuter cette tâche

    À l’aide de ce formulaire, vous mappez les règles d’alarme LogRhythm à gauche avec les champs d’incident de sécurité à droite.

    La figure suivante montre le mappage par défaut des alarmes préconfiguré pour chaque profil d’alarme. Ce mappage par défaut peut être modifié et, grâce à ce formulaire, vous pouvez personnaliser les champs qui renseignent l’incident de sécurité. Une fois ce mappage terminé, vous pouvez voir comment l’ajout ou la suppression de champs d’alarme peut avoir un impact sur les valeurs de champ de l’incident de sécurité.

    Sur le côté gauche de ce formulaire, dans la figure suivante, les règles d’alarme LogRhythm sont décrites. Les valeurs de ces règles d’alarme sont mappées aux champs d’incident de sécurité sur le côté droit du formulaire.

    Procédure

    1. Après avoir créé un profil d’alarme pour LogRhythm, cliquez sur Mappage dans la barre de progression.
    2. Dans le champ Ingestion d’échantillon d’alarme , saisissez jusqu’à cinq ID LogRhythm d’échantillon d’alarme séparés par des virgules (9468, 9474).
      Tâche : Entrez les alarmes à déclencher pour un profil d’alarme.
    3. À côté du champ d’alarme, cliquez sur Extraire les alarmes.

      L’extraction des échantillons d’alarmes peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.

      Une fois que les ID d’alarme d’échantillon ont été soumis et extraits avec succès du LogRhythm serveur, les champs d’alarme et leurs valeurs correspondantes sont affichés dans des onglets.
      Remarque :
      Après l’extraction réussie d’un ID d’alarme, le Now Platform peut renvoyer le message suivant : Les nouveaux champs suivants seront disponibles pour le filtrage sous peu. Veuillez recharger ce profil dans quelques minutes si le filtrage basé sur ces champs est requis. itemspacketsin, itemspacketsout.

      Ce message s’affiche lorsque l’alarme unique qui a été déclenchée contient des noms de champs qui n’ont pas encore été traités par le Now Platform. Ces champs sont disponibles pour le mappage, cependant, si ce message s’affiche, rechargez le formulaire afin que ces champs soient affichés et disponibles dans les listes de choix de filtres du générateur de conditions lorsque vous êtes prêt à définir les conditions de filtrage.

      L’ingestion de ces échantillons d’alarmes dans la configuration du profil d’alarme vous aide à éviter de mapper à l’incident de sécurité les champs d’alarme qui ne contiennent aucune valeur. Il aligne également les champs d’alarme sur les valeurs sur les champs appropriés dans l’incident de sécurité. Cette étape garantit que tous les champs d’alarme critiques sont mappés et qu’il n’y a pas de valeurs de champ manquantes sur l’incident de sécurité.

      Pour vous assurer qu’aucune alarme n’est négligée ou dupliquée dans le processus de mappage, les champs d’alarme sont codés par couleur. Un champ d’alarme bleu clair (Account, AlarmRuleID, AlarmStatus, entre autres) indique qu’aucun champ n’est encore sélectionné pour le mappage à un incident de sécurité.

      Un champ gris (AlarmDate, AlarmID et AlarmRuleName) indique qu’un champ a déjà été sélectionné et a été mappé à un champ de l’incident de sécurité. Ce code couleur vous aide à suivre le mappage, car dans certains cas, un champ d’alarme peut être mappé à plusieurs champs d’un incident de sécurité. Par exemple, les champs Observables et Note de travail peuvent avoir plusieurs valeurs.

    4. Pour effacer les données d’échantillon d’alarme, cliquez sur Effacer les données d’échantillon d’alarme.
    5. Pour modifier la configuration par défaut de l’incident de sécurité, procédez comme suit pour ajouter un champ :
      L’exemple illustre comment rechercher, ajouter un champ et le mapper.
      1. En bas à droite du formulaire, cliquez sur l’icône plus.
        Un nouveau champ s’affiche.
      2. Dans la colonne Incident de sécurité, sélectionnez un champ disponible dans la liste de choix.

        Dans la liste de choix développée, certains champs sont ombrés. Par exemple, la catégorie a un fond gris, ce qui indique qu’elle a été mappée dans l’incident de sécurité. Semblable au code couleur pour LogRhythm les champs d’alarme, ce code couleur pour les champs d’incident de sécurité garantit que les valeurs des champs d’alarme ne sont pas mappées par inadvertance sur le même champ d’incident de sécurité.

        Dans l’illustration ci-dessus, la règle d’alarme ${Alarm :classificationName}$ est déjà mappée au champ Catégorie de l’incident de sécurité dans ce profil.

        Remarque :
        Le champ Observable peut être mappé à plus d’un champ sur le même incident de sécurité afin que plusieurs observables puissent être affichés. De même, les champs Élément de configuration et Notes de travail peuvent être mappés pour afficher plusieurs valeurs.

        Du côté de l’ingestion d’échantillons d’alarme du formulaire, le bleu indique qu’un champ de règle d’alarme n’a pas été mappé. Le gris indique qu’il a été mappé. Dans la liste de choix du côté Mappage du champ d’incident SIR du formulaire, le blanc indique qu’un champ n’a pas été mappé. Le gris indique qu’un champ a été mappé. Utilisez ce code couleur pour vous aider à suivre votre mappage de champs.

        Dans l’illustration ci-dessus, l’utilisateur affecté a été sélectionné dans la liste de choix en tant que nouveau champ sur l’incident de sécurité.

      3. Dans la section Ingestion d’échantillons d’alarme sur le côté gauche du formulaire, cliquez avec le bouton gauche pour sélectionner l’ID d’alarme souhaité dans le champ Expression d’entrée.

        Dans l’illustration ci-dessus, la connexion a été sélectionnée.

      4. Faites-le glisser vers le champ effacé et relâchez-le.
        Dans la colonne de gauche de la section Mappage du champ d’incident SIR, la nouvelle valeur du champ Utilisateur affecté s’affiche. Dans ce cas, la valeur de connexion de l’alarme LogRhythm est affichée dans le champ Utilisateur affecté de l’incident de sécurité.
    6. Alternativement, pour entrer manuellement une valeur pour les champs de la colonne Expression d’entrée, placez votre curseur dans le champ expression d’entrée et entrez la valeur d’alarme souhaitée.

      Par exemple, dans l’illustration ci-dessus, un autre champ a été ajouté (groupe d’affectation) au formulaire d’incident de sécurité, et l’affectation d’incident de sécurité a été saisie manuellement dans le champ.

    7. Continuez à modifier le mappage préconfiguré au besoin.
      Si vous devez convertir les valeurs des champs d’alarme LogRhythm en valeurs prises en charge par les champs de l’incident de sécurité, vous pouvez utiliser l’éditeur de script. Consultez Utiliser l’éditeur de script pour formater LogRhythm les valeurs.

    Que faire ensuite

    Une fois le mappage de champs terminé, l’étape suivante consiste à Filtrer les alarmes pour LogRhythm.