에 대한 경보 프로파일 생성 LogRhythm

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 생성하고 이름을 지정하는 경보 프로필에서 클라이언트 콘솔에서 가져올 경보를 LogRhythm 지정합니다. 보안 인시던트의 필드에 Now Platform 매핑되는 방법도 정의합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    구성된 경보 프로파일에 따라 하나의 경보 프로파일은 모든 유형의 경보를 즉시 수집할 수 있지만 필터 기준을 사용하여 특정 유형의 경보를 수집할 수 있습니다. 이 Now Platform 통합을 사용하면 구성된 모든 경보 규칙 또는 생성된 프로파일을 기반으로 하는 특정 규칙이 수집됩니다. 그런 다음 고위험 수준 경보만과 같은 경보 규칙을 필터링하여 보안 인시던트를 생성해야 하는 경보를 지정할 수 있습니다. 보안 인시던트가 생성되기 전에 필터링된 경보의 개별 필드 값이 보안 인시던트의 해당 필드에 매핑됩니다 Now Platform . 이 구성은 인스턴스 내의 Now Platform 경보 프로필을 통해 수행됩니다.

    프로시저

    1. 다음으로 이동 모두 > LogRhythm Integration레이블이 표시됩니다.
    2. LogRhythm Alarm Profiles 모듈을 선택하여 Alarm Profiles 목록을 표시합니다.
      그림 1. 경보 프로파일
      경보 프로필 생성
    3. 새 경보 프로필을 만들려면 New(새로 만들기)를 클릭합니다.
      새 경보 프로파일 양식이 표시됩니다. 진행률 표시줄의 페이지 상단에서 이름이 선택됩니다. 이 막대는 구성하는 동안 진행 상황을 추적합니다.
    4. 양식에서 필드를 채웁니다.
      표 1. 경보 프로파일
      필드 설명
      이름 경보 프로파일의 이름입니다. 이 이름은 무단 액세스 (VPN), 맬웨어 또는 피싱과 같은 경보 유형을 식별하는 데 도움이 됩니다.
      간단한 설명 경보 프로파일에 대한 추가 정보를 제공하는 짧은 텍스트로, 경보 유형 또는 경보 범주를 포함할 수 있습니다. 예제 설명: 권한 없는 Powershell 및 Sudo 액세스 시도와 관련된 모든 경보입니다.
      소스 선택 목록의 소스 서버입니다. 이 목록은 이미 설정한 구성(예: logrhythm-server-a)으로 LogRhythm 구성됩니다. 플러그인 설치 및 구성 LogRhythm 문서를 참조하십시오.
      순서

      경보 프로필 우선 순위. 이 필드는 두 개 이상의 경보 프로파일이 트리거 조건을 공유할 때 경보 프로파일이 실행되는 순서를 나타냅니다.
      활성 기본적으로 이 옵션은 선택되어 있지 않습니다. 모든 경보 프로파일 설정 단계를 완료하고 마침을 클릭하면 이 확인란을 선택하여 경보 프로파일을 활성화하라는 메시지가 표시됩니다. 경보 프로필이 활성화되면 클라이언트 콘솔에서 자동으로 경보를 LogRhythm 가져옵니다.
    5. Continue(계속)를 클릭하여 데이터를 저장하고 Mapping form(매핑 양식)으로 이동합니다.

      확인에 성공하면 페이지가 다시 로드되고 매핑 양식이 표시됩니다. 연결 및 자격 증명을 성공적으로 확인할 때까지 구성을 계속할 수 없습니다.