Mapeamento de LogRhythm alarmes para o incidente de segurança
Depois de selecionar a origem LogRhythm que você deseja ingerir, é necessário mapear campos de alarme LogRhythm individuais para os campos de incidente de segurança Now Platform.
O mapeamento de alarmes inclui as seguintes tarefas:
- Mapear LogRhythm alarmes. Para esta tarefa, você lista e ingere (Pull) alarmes de amostra usando os IDs de alarme ou os alarmes mais recentes do console do cliente LogRhythm.
- Os campos de Alarme de amostra são categorizados em três grupos:
- Campos dealarme: os campos de alarme disponíveis e seus valores correspondentes são exibidos.
- Campos de evento: os campos de evento disponíveis e seus valores correspondentes são exibidos.
- Campos DrillDownLog: os campos de log de detalhamento que estão disponíveis e seus valores correspondentes são exibidos.
- Cada ID de alarme que você extraiu é exibido como uma guia. Nas guias ID do alarme, verifique se todos os campos de alarme críticos da seção Ingestão de amostra de alarme à esquerda do formulário estão mapeados para a seção Mapeamento de campo de incidente SIR à direita do formulário.
- Depois de mapear os alarmes para o campo Mapeamento de campo de incidente SIR, você pode ver a categoria de alarme também sendo exibida no campo Expressão de entrada. Por exemplo, ${Alarm: alarmid}$.
- Você pode modificar a configuração adicionando ou removendo campos no incidente de segurança. Rastreie campos ignorados ou duplicados com a codificação de cores fornecida.
- Você pode filtrar alarmes para especificar quais alarmes são incluídos na aplicação SIR. Você pode filtrar os alarmes diretamente ou usar as categorias de alarme para expandir sua pesquisa com base em Alarmes, Eventos ou DrillDownLogs.
- Use o editor de script se quiser formatar valores para os campos Prioridade e Categoria no incidente de segurança.
O próximo passo é Mapear campos de alarme LogRhythm para campos de incidente de segurança.