경보 필터링 대상 LogRhythm

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • 필드를 매핑한 후 경보에 대한 필터링 기준을 설정하면 SIR 애플리케이션에 수집해야 하는 경보를 결정하는 데 도움이 됩니다. 경보를 필터링하면 경보 프로필이 활성화될 때 수집하는 경보 수를 크게 줄일 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    매핑 양식 하단의 필터링 조건을 사용하여 특정 경보를 필터링하거나 특정 필드 수준 기준을 충족하는 경보로만 수집을 제한합니다. 필터링하면 경보 프로필이 활성화되면 수집하는 경보의 수가 크게 줄어듭니다. 필터링을 사용하여 보안 운영 센터(SOC) 직원이 지원할 수 있는 관리 가능한 양의 경보를 수집합니다.
    주:
    다음 예제에서는 Alarm status-does-not-contain-Closed 가 기본 설정인 기본 필터 설정을 보여 줍니다. 이 필터는 활성 경보만 가져오며, 이 설정은 끌어온 경보의 수를 줄입니다. 다음 단계에서는 심각도 또는 우선 순위 값이 가장 높은 경보만 포함하는 다른 유용한 필터를 추가하는 방법을 보여 줍니다.

    프로시저

    1. 필터링 기준을 편집하려면 조건에 따라 필터링 확인란을 선택합니다.
      조건에 따라 필터링 확인란이 선택되고 강조 표시됩니다.
    2. 필터 조건 필드 오른쪽에 있는 OR 또는 AND를 클릭합니다.
    3. 표시되는 새 줄의 선택 목록에서 필터링 조건을 선택합니다.

      다음 이미지는 위험 기반 우선 순위(RBP max)가 50보다 큰 조건에 추가된 추가 필터를 보여 줍니다. 이 필터 설정을 사용하면 위험 기반 우선 순위 값이 50보다 큰 경보만 LogRhythm 가져옵니다.

      위험 기반 우선 순위가 50보다 큰 경보를 수집하기 위해 새 필터 조건을 추가합니다.
    4. 모든 중요한 LogRhythm 경보 필드가 보안 인시던트에 Now Platform 매핑되었는지 확인하고 경보 수집을 제한하도록 필터링 기준을 설정한 후 하나를 선택하여 구성을 계속합니다.
      옵션설명
      계속 또는 미리 보기 매핑 구성이 포함된 보안 인시던트의 미리 보기 양식이 표시됩니다.

      진행률 표시줄에서 미리 보기가 선택되어 있습니다. 다음 단계는 매핑된 경보를 사용하여 보안 인시던트를 보는 것입니다.
      업데이트 데이터를 저장하고 알람 프로파일 목록으로 돌아갑니다.
      이전 경보 프로파일 기록이 표시됩니다.
      삭제 이 경보 프로파일을 삭제하면 경보 프로파일 목록이 표시됩니다.

    다음에 수행할 작업

    다음 단계는 보안 인시던트에서 매핑된 필드를 미리 보는 것입니다. 매핑된 LogRhythm 경보 값으로 보안 인시던트 미리 보기 문서를 참조하십시오.