Mapear campos de alarme LogRhythm para campos de incidente de segurança

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • Você mapeia campos de alarme individuais para os campos de incidente de segurança. O mapeamento pré-configurado pode ser editado e a codificação de cores fornecida para os campos ajuda a monitorar os alarmes já mapeados. Esta etapa ajuda a visualizar como suas edições afetam os campos no incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Se você não estiver familiarizado com os alarmes LogRhythm, navegue até o Console do cliente LogRhythm e revise alguns exemplos de IDs de alarme. Para o exemplo a seguir, os alarmes LogRhythm9468 e 9474 foram usados para mapear os alarmes para o incidente de segurança.

    Por Que e Quando Desempenhar Esta Tarefa

    Usando este formulário, você mapeia as regras de alarme LogRhythm à esquerda para os campos de incidente de segurança à direita.

    A figura a seguir mostra o mapeamento padrão de alarmes pré-configurados para cada perfil de alarme. Este mapeamento padrão pode ser editado e, com este formulário, você personaliza os campos que preenchem o incidente de segurança. Depois de concluir este mapeamento, você poderá ver como a adição ou a remoção de campos de alarme pode afetar os valores de campo no incidente de segurança.

    No lado esquerdo deste formulário na figura a seguir, as regras de alarme LogRhythm estão descritas. Os valores dessas regras de alarme são mapeados para os campos de incidente de segurança no lado direito do formulário.

    Procedimento

    1. Depois de criar um perfil de alarme para o LogRhythm, clique em Mapeamento na barra de andamento.
    2. No campo Ingestão de amostra de alarme, insira até cinco amostras de IDs de alarme LogRhythm separadas por vírgulas (9468,9474).
      Tarefa: insira alarmes para extrair um perfil de alarme.
    3. Ao lado do campo de alarme, clique em Extrair alarmes.

      A extração de alarmes de amostra pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela.

      Depois que os IDs de alarme de amostra são enviados e extraídos com sucesso do servidor LogRhythm, os campos de alarme e seus valores correspondentes são exibidos em guias.
      Nota:
      Depois que um ID de alarme é extraído com sucesso, o Now Platform pode retornar a seguinte mensagem: Os seguintes novos campos estarão disponíveis para filtragem em breve. Recarregue este perfil em alguns minutos se a filtragem com base nesses campos for necessária. itenspacotesem, itenspacotesfora.

      Esta mensagem ocorre quando o único alarme que foi extraído contém nomes de campo não processados anteriormente pelo Now Platform. Esses campos estão disponíveis para mapeamento, no entanto, se esta mensagem for exibida, recarregue o formulário para que esses campos sejam exibidos e disponíveis nas listas de seleção de filtro do construtor de condições quando estiver pronto para definir condições de filtragem.

      A ingestão desses alarmes de amostra na configuração do perfil de alarme ajuda a impedir o mapeamento de campos de alarme para o incidente de segurança que não contêm valores. Ele também alinha os campos de alarme com valores para os campos apropriados no incidente de segurança. Esta etapa garante que todos os campos de alarme críticos sejam mapeados e que não haja valores de campo ausentes no incidente de segurança.

      Para ajudar a garantir que nenhum alarme seja ignorado ou duplicado no processo de mapeamento, os campos de alarme são codificados por cores. Um campo de alarme azul claro (Account, AlarmRuleID, AlarmStatusetc.) indica que um campo ainda não foi selecionado para mapeamento para um incidente de segurança.

      Um campo cinza (AlarmDate, AlarmIDe AlarmRuleName) indica que um campo já foi selecionado e mapeado para um campo no incidente de segurança. Essa codificação de cores ajuda a rastrear o mapeamento porque, em determinados casos, um campo de alarme pode ser mapeado para mais de um campo em um incidente de segurança. Por exemplo, os campos Observáveis e Anotação de trabalho podem ter mais de um valor.

    4. Para limpar os dados de alarme de amostra, clique em Limpar dados de alarme de amostra.
    5. Para editar a configuração padrão no incidente de segurança, siga estas etapas para adicionar um campo:
      O exemplo ilustra como pesquisar e adicionar um campo e mapeá-lo.
      1. No canto inferior direito do formulário, clique no ícone de adição.
        Um novo campo é exibido.
      2. Na coluna Incidente de segurança, selecione um campo disponível na lista de seleção.

        Na lista de seleção expandida, alguns dos campos estão sombreados. Por exemplo, a Categoria tem um plano de fundo cinza, o que indica que ela foi mapeada no incidente de segurança. Semelhante à codificação de cores dos campos de alarme LogRhythm, essa codificação de cores dos campos de incidente de segurança garante que os valores dos campos de alarme não sejam mapeados inadvertidamente para o mesmo campo de incidente de segurança.

        Na ilustração acima, a regra de alarme ${Alarm:classificationName}$ já está mapeada para o campo Categoria no incidente de segurança neste perfil.

        Nota:
        O campo Observável pode ser mapeado para mais de campo no mesmo incidente de segurança para que vários observáveis possam ser exibidos. Da mesma forma, os campos Item de configuração e Anotações de trabalho podem ser mapeados para exibir vários valores.

        No lado de Ingestão de amostra do alarme do formulário, o azul indica que um campo de regra de alarme não foi mapeado. Cinza indica que foi mapeado. Na lista de seleção no lado Mapeamento de campo de incidente SIR do formulário, branco indica que um campo não foi mapeado. Cinza indica que um campo foi mapeado. Use esta codificação de cores para ajudá-lo a rastrear o mapeamento de campo.

        Na ilustração acima, Usuário afetado foi selecionado na lista de seleção como um novo campo no incidente de segurança.

      3. Na seção Ingestão de amostra de alarme no lado esquerdo do formulário, clique com o botão esquerdo do mouse para selecionar o ID do alarme desejado no campo Expressão de entrada.

        Na ilustração acima, Login foi selecionado.

      4. Arraste-o para o campo limpo e solte-o.
        Na coluna esquerda da seção Mapeamento de campo de incidente de SIR, o novo valor do campo Usuário afetado é exibido. Nesse caso, o valor de Login do alarme LogRhythm é exibido no campo Usuário afetado no incidente de segurança.
    6. Como alternativa, para inserir manualmente um valor para campos na coluna Expressão de entrada, coloque o cursor no campo de expressão de entrada e insira um valor de alarme desejado.

      Por exemplo, na ilustração acima, outro campo foi adicionado (Grupo de atribuição) ao formulário de incidente de segurança, e a atribuição de incidente de segurança foi inserida manualmente no campo.

    7. Continue editando o mapeamento pré-configurado conforme necessário.
      Se você precisar traduzir valores de campos de alarme LogRhythm para valores compatíveis com os campos no incidente de segurança, poderá usar o editor de script. Consulte Use o editor de script para formatar valores LogRhythm.

    O que Fazer Depois

    Depois de concluir o mapeamento de campo, a próxima etapa é Filtrar alarmes para LogRhythm.