알람 예약 및 검색 LogRhythm

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 선택하고 매핑한 경보로 LogRhythm 보안 인시던트를 미리 보고 나면 경보 검색을 예약할 준비가 된 것입니다. 이 단계를 완료하면 경보 프로필을 활성화할 준비가 된 것입니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    스케줄링을 사용하면 스케줄링과 검색을 위해 선택한 경보 유형을 수정할 수 있습니다. 날짜 범위 또는 특정 경보 ID를 기준으로 수집하는 경보를 필터링합니다. 이 단계에서는 기록 경보를 수집할지 여부와 경보 프로파일 구성과 일치하는 향후 경보를 폴링하는 빈도를 결정합니다.

    프로시저

    1. 진행률 표시줄에서 일정 단계를 클릭합니다.
      진행률 표시줄에 일정이 강조 표시됩니다.
    2. 다음 옵션 중에서 선택하여 경보 검색을 구성합니다.
      옵션설명
      증분 경보 검색 사용 기본값이 선택되어 있습니다. 증분 경보를 검색하려면 이 옵션을 선택합니다.
      폴링 간격(분)

      인스턴스는 Now Platform 1분마다 새 경보에 대해 클라이언트 콘솔에서 LogRhythm 가져옵니다. 매핑된 경보가 발견되고 필터링 기준이 일치하면 보안 인시던트가 생성됩니다.

      이 설정은 변경할 수 있지만 기본 설정은 서버 부하에 대한 경보 수집의 균형을 맞추고 최신 데이터를 검색합니다.
      다음 경보 수집 시간(예상) 현재 경보 프로필에 대해 예약된 다음 수집이 발생하는 시기를 표시합니다. 이것은 단지 예상 시간일 뿐입니다.
      경보 이력 검색 사용 기본값은 지워져 있습니다. 끌어온 이력 데이터가 없습니다.
      선택하면 다음 필드가 표시됩니다. 하나를 선택하여 날짜 또는 경보 ID별로 검색을 구성합니다.
      시작 날짜 가져오기 사용
      기본값은 지워져 있습니다. 끌어오기 날짜를 활성화하려면 이 옵션을 선택합니다.
      시작 날짜 가져오기
      기본값은 지워져 있습니다. 끌어오기 시작 날짜를 설정하려면 이 옵션을 선택합니다. 달력 아이콘을 클릭하여 날짜와 시간을 입력합니다. 입력한 날짜 및 시간에서 현재 날짜로 알람을 가져옵니다.
      특정 경보 경보 ID 수집
      기본값은 지워져 있습니다. 특정 경보 경보 ID를 수집하려면 이 옵션을 선택합니다.
      AlarmID
      특정 경보 ID를 입력합니다. 지정된 경보를 가져오고 여러 경보 ID를 쉼표로 구분하여 입력할 수 있습니다.
      주:
      경보의 기록, 일회성 끌어오기가 완료되면 이 확인란의 선택이 취소됩니다. 기록 경보의 다른 일회성 끌어오기를 실행하기 전에 이 확인란을 다시 선택해야 합니다.
    3. 경보 기록 검색을 편집하려면 다음 단계에 따라 경보 검색 날짜 또는 특정 경보 ID를 입력합니다.
      1. Enable pulling started date(시작 날짜 끌어오기 사용)를 선택한 다음, Pulling start date(시작 날짜 풀링)를 선택합니다.
      2. 시작 날짜 가져오기 필드에서 표시된 달력을 클릭하고 날짜와 녹색 확인 표시를 차례로 선택하여 항목을 저장합니다.
        작업: 달력에서 날짜를 선택하고 녹색 확인 표시가 있는 날짜를 저장합니다.
        날짜가 표시됩니다.
      3. 또는 Ingest specific Alarm ID(s)(특정 경보 ID 수집) 옵션을 선택하고 AlarmID(s)(알람 ID) 필드에 기록 데이터의 특정 경보 ID를 입력하여 특정 경보 ID를 검색합니다.

        최대 5개의 알람을 쉼표로 구분하여 입력할 수 있습니다.

      4. 업데이트를 클릭합니다.
    4. 다음 옵션 중 하나를 선택하여 편집을 계속하거나 구성을 완료합니다.
      옵션설명
      업데이트 데이터를 저장하고 양식에 남아 있습니다.
      추가 옵션(진행률 표시줄에 있음) 을 클릭하여 추가 옵션 단계로 이동합니다.
      이전 미리 보기 단계로 돌아갑니다.
      삭제 이 알람 프로파일을 삭제하면 알람 프로파일 목록이 표시됩니다.

    다음에 수행할 작업

    진행 중인 경보 수집 및 일회성 검색 세부 정보를 구성한 후 다음 단계는 경보에 대한 LogRhythm 추가 옵션입니다.