경보에 대한 LogRhythm 추가 옵션
엔터프라이즈 통합은 LogRhythm 보안 인시던트를 기반으로 경보를 LogRhythm 자동으로 업데이트하거나 종결하는 기능을 제공합니다.
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
Alarm initial updates(경보 초기 업데이트) 옵션을 활성화하면 LogRhythm 주석에서 초기 경보 업데이트와 함께 경보가 자동으로 업데이트됩니다. 마찬가지로 경보 종결 업데이트 옵션을 활성화하면 SIR 종결 코드 및 종결 주석과 함께 LogRhythm에서 경보가 자동으로 종결됩니다.
경보 ID는 LogRhythm 인시던트의 수명주기 동안 보안 인시던트 ID에 연결됩니다 Now Platform . 이 상관 관계를 통해 동시에 자동화된 보안 인시던트/경보 종결이 발생할 수 있습니다. (SIR) 보안 인시던트 기록이 보안 인시던트 응답 종결되면 웹 콘솔의 경보에 코멘트가 게시됩니다LogRhythm. 이 설명은 보안 인시던트 종결 Now Platform 에 따라 경보가 종료되었음을 나타냅니다. 참조를 위해 보안 인시던트로 다시 연결되는 URL과 인시던트 번호도 경보의 LogRhythm 설명 섹션에 포함되어 있습니다.
프로시저
- 진행률 표시줄에서 추가 옵션 단계를 클릭합니다.
-
SIR 인시던트 작성에 자동화된 경보 업데이트를 사용하려면 다음 옵션 중에서 선택하여 경보 검색을 구성합니다.
옵션 설명 SIR 인시던트 작성 시 LogRhythm 경보 업데이트 기본값은 지워져 있습니다. SIR 인시던트가 생성될 때 경보를 자동으로 업데이트 LogRhythm 하려면 이 옵션을 선택합니다. LogRhythm 경보에 다시 게시된 초기 설명 경보에 대해 LogRhythm 게시된 초기 설명을 나타냅니다.
SIR 인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 설명 섹션에 표시되는 기본 텍스트를 편집합니다.
예 : 관련 ServiceNow 보안 인시던트 ${Number}$이(가) 생성되어 ${Assignment group}$에 할당되었습니다. 추가 세부 정보는 ${URL}$에 있는 보안 인시던트에서 확인할 수 있습니다.
-
SIR 인시던트 종결에 자동화된 경보 업데이트를 사용하려면 다음 옵션 중에서 선택하여 경보 검색을 구성합니다.
옵션 설명 SIR 인시던트 종결 시 LogRhythm 경보 닫기 기본값은 지워져 있습니다. SIR 인시던트가 종결될 때 자동으로 경보를 종결 LogRhythm 하려면 이 옵션을 선택합니다. LogRhythm 경보에 다시 게시된 종결 설명 경보에 대해 LogRhythm 게시된 종결 설명을 나타냅니다.
SIR 인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 설명 섹션에 표시되는 기본 텍스트를 편집합니다.
예를 들어 관련 ServiceNow 보안 인시던트 ${Number}$가 종결 메모 ${종결 메모}$와 함께 SOC 분석가-${종결한 사람}$에 의해 종결되었습니다. 추가 세부 정보는 ${URL}$에 있는 보안 인시던트에서 확인할 수 있습니다.
- Finish(마침)를 클릭하여 알람 프로파일을 저장합니다.