Ordnen Sie LogRhythm Alarmfelder Security Incident-Feldern zu

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Sie ordnen den Security Incident-Feldern einzelne Alarmfelder zu. Die vorkonfigurierte Zuordnung kann bearbeitet werden, und die für die Felder bereitgestellte Farbcodierung hilft Ihnen, bereits zugeordnete Alarme zu überwachen. Dieser Schritt hilft Ihnen zu visualisieren, wie sich Ihre Änderungen auf die Felder des Security Incident auswirken.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Wenn Sie mit den LogRhythm -Alarmen nicht vertraut sind, navigieren Sie zur LogRhythm Client-Konsole, und überprüfen Sie einige Beispiel-Alarm-IDs. Im folgenden Beispiel wurden LogRhythm Alarme 9468 und 9474 verwendet, um die Alarme dem Security Incident zuzuordnen.

    Warum und wann dieser Vorgang ausgeführt wird

    Mit diesem Formular ordnen Sie die Alarmregeln LogRhythm auf der linken Seite den Security Incident-Feldern auf der rechten Seite zu.

    Die folgende Abbildung zeigt die Standardzuordnung von Alarmen, die für jedes Alarmprofil vorkonfiguriert ist. Diese Standardzuordnung kann bearbeitet werden, und mit diesem Formular passen Sie die Felder an, die den Security Incident ausfüllen. Nachdem Sie diese Zuordnung abgeschlossen haben, können Sie sehen, wie sich das Hinzufügen oder Entfernen von Alarmfeldern potenziell auf die Feldwerte im Security Incident auswirkt.

    Auf der linken Seite dieses Formulars sind in der folgenden Abbildung die Alarmregeln LogRhythm dargestellt. Die Werte dieser Alarmregeln werden den Security Incident-Feldern auf der rechten Seite des Formulars zugeordnet.

    Prozedur

    1. Klicken Sie nach dem Erstellen eines Alarmprofils für LogRhythm in der Fortschrittsleiste auf Zuordnung.
    2. Geben Sie im Feld Alarm-Sample -Erfassung bis zu fünf Beispiel-Alarm-IDs LogRhythm durch Kommas getrennt ein (9468,9474).
      Aufgabe: Geben Sie Alarme ein, die für ein Alarmprofil abgerufen werden sollen.
    3. Klicken Sie neben dem Alarmfeld auf Alarme abrufen.

      Der Abruf für Beispielalarme kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt.

      Nachdem die Beispielalarm-IDs übermittelt und erfolgreich vom Server LogRhythm abgerufen wurden, werden die Alarmfelder und ihre entsprechenden Werte in Registerkarten angezeigt.
      Hinweis:
      Nachdem eine Alarm-ID erfolgreich abgerufen wurde, gibt Now Platform möglicherweise die folgende Meldung zurück: Die folgenden neuen Felder sind in Kürze zum Filtern verfügbar. Laden Sie dieses Profil in einigen Minuten neu, wenn eine Filterung basierend auf diesen Feldern erforderlich ist. itemspacketsin, itemspacketsout.

      Diese Nachricht wird angezeigt, wenn der einzelne abgerufene Alarm Feldnamen enthält, die zuvor nicht von Now Platformverarbeitet wurden. Diese Felder sind für die Zuordnung verfügbar. Wenn jedoch diese Nachricht angezeigt wird, laden Sie das Formular neu, damit diese Felder angezeigt werden und in den Filterauswahllisten des Bedingungsgenerators verfügbar sind, wenn Sie bereit sind, Filterbedingungen festzulegen.

      Durch die Erfassung dieser Beispielalarme in der Alarmprofilkonfiguration können Sie die Zuordnung von Alarmfeldern zu Security Incidents verhindern, die keine Werte enthalten. Außerdem werden Alarmfelder mit Werten an den entsprechenden Feldern im Security Incident ausgerichtet. Dieser Schritt stellt sicher, dass alle kritischen Alarmfelder zugeordnet werden und keine Feldwerte im Security Incident fehlen.

      Damit Sie sicherstellen können, dass im Zuordnungsprozess keine Alarme übersehen oder dupliziert werden, sind Alarmfelder farbcodiert. Ein hellblaues Alarmfeld (Account, AlarmRuleID, AlarmStatususw.) zeigt an, dass ein Feld noch nicht für die Zuordnung zu einem Security Incident ausgewählt wurde.

      Ein graues Feld (AlarmDate, AlarmIDund AlarmRuleName) zeigt an, dass bereits ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen, da in bestimmten Fällen ein Alarmfeld mehr als einem Feld in einem Security Incident zugeordnet werden kann. Beispielsweise können die Felder „ Erkennbare Elemente “ und „Arbeitsnotiz“ mehr als einen Wert haben.

    4. Um die Beispielalarmdaten zu löschen, klicken Sie auf Beispielalarmdatenlöschen.
    5. Um die Standardkonfiguration für den Security Incident zu bearbeiten, führen Sie die folgenden Schritte aus, um ein Feld hinzuzufügen:
      Das Beispiel zeigt, wie ein Feld gesucht, hinzugefügt und zugeordnet wird.
      1. Klicken Sie rechts unten im Formular auf das Plus-Symbol.
        Ein neues Feld wird angezeigt.
      2. Wählen Sie in der Spalte Security Incident ein verfügbares Feld aus der Auswahlliste aus.

        In der erweiterten Auswahlliste sind einige der Felder schattiert dargestellt. Zum Beispiel hat die Kategorie einen grauen Hintergrund, was darauf hinweist, dass sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für LogRhythm Alarmfelder stellt diese Farbcodierung für die Security Incident-Felder sicher, dass Werte aus den Alarmfeldern nicht versehentlich demselben Security Incident-Feld zugeordnet werden.

        In der obigen Abbildung ist die Alarmregel ${Alarm:classificationName}$ bereits dem Feld Kategorie im Security Incident in diesem Profil zugeordnet.

        Hinweis:
        Das Feld „Erkennbares Element“ kann mehreren Feldern desselben Security Incident zugeordnet werden, sodass mehrere erkennbare Elemente angezeigt werden können. Ebenso können die Felder Konfigurationselement und Arbeitsnotizen so zugeordnet werden, dass mehrere Werte angezeigt werden.

        Auf der Seite „Erfassung von Alarmbeispielen“ des Formulars zeigt Blau an, dass kein Alarmregelfeld zugeordnet wurde. Grau zeigt an, dass sie zugeordnet wurde. In der Auswahlliste auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zeigt Weiß an, dass kein Feld zugeordnet wurde. Grau zeigt an, dass ein Feld zugeordnet wurde. Verwenden Sie diese Farbcodierung, um die Feldzuordnung nachzuverfolgen.

        In der obigen Abbildung wurde Betroffener Benutzer aus der Auswahlliste als neues Feld für den Security Incident ausgewählt.

      3. Klicken Sie im Abschnitt „Erfassung von Alarmbeispielen“ auf der linken Seite des Formulars mit der linken Maustaste, um die gewünschte Alarm-ID im Feld Eingabeausdruck auszuwählen.

        In der Abbildung oben wurde „ Anmeldung “ ausgewählt.

      4. Ziehen Sie es in das leere Feld, und lassen Sie es los.
        In der linken Spalte im Abschnitt SIR-Incident-Feldzuordnung wird der neue Wert für das Feld Betroffener Benutzer angezeigt. In diesem Fall wird der Wert für Login aus dem Alarm LogRhythm im Feld Betroffener Benutzer des Security Incident angezeigt.
    6. Alternativ können Sie manuell einen Wert für Felder in der Spalte Eingabeausdruck eingeben, indem Sie den Cursor in das Feld Eingabeausdruck setzen und den gewünschten Alarmwert eingeben.

      Beispiel: In der obigen Abbildung wurde dem Security Incident-Formular ein weiteres Feld (Zuweisungsgruppe) hinzugefügt, und Security Incident-Zuweisung wurde manuell in das Feld eingegeben.

    7. Setzen Sie die Bearbeitung der vorkonfigurierten Zuordnung nach Bedarf fort.
      Wenn Sie Werte aus LogRhythm Alarmfeldern in Werte übersetzen müssen, die von den Feldern im Security Incident unterstützt werden, können Sie den Skript-Editor verwenden. Weitere Informationen finden Sie unter Verwenden Sie den Skript-Editor, um LogRhythm -Werte zu formatieren.

    Nächste Maßnahme

    Nachdem Sie die Feldzuordnung abgeschlossen haben, führen Sie den nächsten Schritt zu Filtern Sie Alarme nach LogRhythm.