보안 인시던트에 경보 매핑 LogRhythm
수집할 소스를 선택한 LogRhythm 후에는 개별 LogRhythm 경보 필드를 Now Platform 보안 인시던트 필드에 매핑해야 합니다.
경보 매핑에는 다음 작업이 포함됩니다.
- 경보를 매핑 LogRhythm 합니다. 이 작업의 경우 클라이언트 콘솔에서 경보 ID 또는 가장 최근 경보를 사용하여 샘플 경보를 나열하고 수집(Pull)합니다 LogRhythm .
- 샘플 경보 필드는 세 그룹으로 분류됩니다.
- 경보 필드: 사용할 수 있는 경보 필드와 해당 값이 표시됩니다.
- 이벤트 필드: 사용 가능한 이벤트 필드와 해당 값이 표시됩니다.
- DrillDownLog 필드: 사용 가능한 드릴다운 로그 필드와 해당 값이 표시됩니다.
- 끌어온 각 경보 ID는 탭으로 표시됩니다. 경보 ID 탭에서 양식 왼쪽에 있는 경보 샘플 수집 섹션의 모든 중요 경보 필드가 양식 오른쪽의 SIR 인시던트 필드 매핑 섹션에 매핑되는지 확인합니다.
- 경보를 SIR 인시던트 필드 매핑 필드에 매핑한 후 입력 표현식 필드에도 경보 범주가 표시되는 것을 볼 수 있습니다. 예: ${Alarm: alarmid}$.
- 보안 인시던트에서 필드를 추가하거나 제거하여 구성을 수정할 수 있습니다. 제공된 색상 코딩으로 간과되거나 중복된 필드를 추적합니다.
- 경보를 필터링하여 SIR 애플리케이션에 수집되는 경보를 지정할 수 있습니다. 경보를 직접 필터링하거나 경보 범주를 사용하여 경보, 이벤트 또는 DrillDownLogs를 기반으로 검색을 드릴다운할 수 있습니다.
- 보안 인시던트의 우선순위 및 범주 필드 값의 형식을 지정하려면 스크립트 편집기를 사용합니다.
다음 단계는 경보 필드를 보안 인시던트 필드에 매핑 LogRhythm입니다.