Instalar o plug-in e configurar LogRhythm

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Antes de executar a integração na sua instância, conclua as etapas de instalação e configuração para que a aplicação se integre corretamente com Security Operations no Now Platform®.

    Antes de Iniciar

    Função necessária: administrador

    Conclua a check-list de configuração a seguir antes da instalação. Essas tarefas de configuração são necessárias para uma instalação e configuração sem problemas. A versão LogRhythm mais recente é 7.8 ou posterior.
    Nota:
    Seus perfis de alarme existentes não serão mais compatíveis com a versão LogRhythm mais recente, portanto, você precisa criar novos perfis de alarme e executar as configurações necessárias.
    Configuração de tarefa Descrição

    Verifique se você atribuiu as funções Now Platform® e Security Incident Response (SIR) necessárias.

    		 As funções a seguir são necessárias para instalação, configuração e verificação dos resultados esperados:
    • O administrador do sistema (admin) instala o plug-in da aplicação e atribui a função de administrador de incidentes de segurança (sn_si.admin).
    • O (sn_si.admin) supervisiona as seguintes tarefas:
      • Nomeia, cria e edita perfis de alarme.
      • Mapeia e filtra alarmes: identifica alarmes LogRhythm específicos que criam incidentes de segurança e configura como esses campos de alarme são mapeados para um incidente de segurança Now Platform®.
      • Visualiza os detalhes do incidente de segurança para precisão antes de finalizar a configuração.
      • Ingere alarmes históricos e programa alarmes extraídos.
      • Atribui a função de analista de incidente de segurança (sn_si.analyst).
      • Esta função também tem acesso ao módulo Security Operations.
    • O analista de incidentes de segurança (sn_si.analyst) responde a incidentes de segurança que são criados com base nas configurações de perfil de alarme.

    Obtenha um nome de usuário e senha da API LogRhythm e verifique se você está usando a versão LogRhythm 7.8 ou posterior.

    		 Visite o site do produto para obter informações sobre chaves de API e para criar uma conta: Site do LogRhythm Enterprise. As contas de usuário, credenciais e certificados devem ser configuradas corretamente antes de instalar a aplicação.

    A integração requer LogRhythm versão 7.8 ou posterior e as LogRhythm REST APIs.

    Consulte Configurar a REST API para LogRhythm.
    Verifique se você instalou e configurou um MID Server.

    Um MID Server é necessário em seu ambiente Now Platform. Consulte o site de documentação do produto da ServiceNow para obter informações sobre como instalar e configurar MID Servers.

    Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração estão instaladas e ativadas antes de instalar a aplicação para a integração.

    Para a versão Rome e versões posteriores da família, o plug-in Security Incident Response Dependency (com.snc.si_dep) é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar as outras aplicações Security Operations necessárias para a integração.

    Verifique se as seguintes Security Operations aplicações estão instaladas e ativadas a partir de ServiceNow Store. Se não estiverem instalados, instale e ative um aplicativo de cada vez na ordem a seguir para garantir uma instalação sem problemas.

    1. Security Incident Response
    2. Security Integration Framework
    3. Security Support Common
    4. Orquestração de suporte de segurança

    Para obter mais informações sobre como configurar sua instância Now Platform para a integração, consulte Obter direito para um produto ou aplicação Security Operations e Ativar uma aplicação ServiceNow Store.
    Importante:
    Se você tiver problemas de conectividade com o console do cliente LogRhythm, consulte o Verificar conectividade para LogRhythm.

    Procedimento

    1. Se você não instalou a aplicação para a integração, consulte Instalar uma integração Security Operations e siga as etapas para instalá-lo.
    2. Quando a instalação for concluída, navegue até Integrações > Configurações de integrações e localize o bloco LogRhythm.
    3. Clique em Configurar.
      Tarefa: clique no botão Configurar para LogRhythm.
    4. Clique no link Nova configuração.
      Tarefa: clique no link Nova configuração.
    5. No formulário, preencha os campos:
      Tabela 1. Configuração do LogRhythm
      Campo Descrição
      Nome LogRhythm nome do servidor, por exemplo, logrhythm-server-a.
      URL base URL base que hospeda a REST API LogRhythm.

      O MID Server permite o acesso à rede onde o console do cliente LogRhythm está hospedado. Este URL é onde o servidor LogRhythm está hospedado nessa rede. Clique no ícone de cadeado na extremidade direita para editar o campo e inserir o texto de um URL, por exemplo, https://logrhythm.secops-eng.com:8501/.
      Token de API Insira o token que está associado à REST API que você criou no LogRhythm Console do cliente.
      Implantação no local Opção para selecionar se for uma implantação no local LogRhythm.
      MID Server MID Server específico que está configurado em seu ambiente. Somente os MID Servers que estão ativos e foram validados estão disponíveis nesta lista de seleção.

      A figura a seguir é um exemplo de um formulário preenchido.

      Um formulário de configuração do LogRhythm preenchido.
    6. Clique em Validar e salvar.
      Depois que a validação for concluída com sucesso, uma mensagem será exibida e a página Configurações LogRhythm será recarregada. A próxima etapa é criar um perfil de alarme.

    O que Fazer Depois

    Depois de concluir com sucesso a validação, a próxima etapa é Como criar um perfil de alarme para LogRhythm.