Filtrar alarmes para LogRhythm

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • A definição de critérios de filtragem para alarmes depois de mapear campos ajuda a determinar quais alarmes devem ser ingeridos na aplicação SIR. A filtragem de alarmes ajuda a reduzir significativamente o número de alarmes que você ingerem quando o perfil de alarme é ativado.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Use as condições de filtragem na parte inferior do formulário de mapeamento para filtrar alarmes específicos ou limitar a ingestão a somente alarmes que atendam a determinados critérios de nível de campo. A filtragem reduz significativamente o número de alarmes que você ingerem quando o perfil de alarme é ativado. Use a filtragem para ingerir uma quantidade gerenciável de alarmes que sua equipe da Central de operações de segurança (SOC) pode oferecer suporte.
    Nota:
    O exemplo a seguir mostra uma configuração de filtro padrão na qual Status-do alarme-não-contém-encerrado é a configuração padrão. Este filtro extrai somente alarmes ativos, e esta configuração reduz o número de alarmes extraídos. As etapas a seguir ilustram como adicionar outro filtro útil que inclui somente alarmes com os valores mais altos de gravidade ou prioridade.

    Procedimento

    1. Para editar os critérios de filtragem, selecione Filtro com base em condições caixa de seleção.
      Caixa de seleção Filtrar com base em condições selecionada e realçada.
    2. À direita do Condições de filtro clique em OU ou E. .
    3. Na nova linha exibida, selecione as condições de filtragem nas listas de seleção.

      A imagem a seguir mostra um filtro adicional adicionado aos critérios em que a prioridade baseada em risco ( RBP máx ) é maior que 50 . Somente com esta configuração de filtro LogRhythmos alarmes com um valor de prioridade baseado em risco maior que 50 são extraídos.

      Adicione uma nova condição de filtro para ingerir alarmes com uma prioridade baseada em risco maior que 50.
    4. Depois de verificar que tudo é crítico LogRhythmos campos de alarme são mapeados para Now Platforme você definiu critérios de filtragem para limitar a ingestão de alarmes, escolha um para continuar a configuração.
      OpçãoDescrição
      Continuar ou Visualizar O formulário de Visualização do incidente de segurança com sua configuração de mapeamento é exibido.

      Visualização está selecionado na barra de andamento. A próxima etapa é exibir o incidente de segurança com seus alarmes mapeados.
      Atualizar Salve seus dados e retorne ao Perfis de alarme lista.
      Anterior O registro do perfil de alarme é exibido.
      Excluir Exclua este perfil de alarme e o. Perfis de alarme a lista é exibida.

    O que Fazer Depois

    A próxima etapa é visualizar os campos mapeados no incidente de segurança. Consulte Visualizando o incidente de segurança com mapeado LogRhythmvalores de alarme.