Erstellen eines Alarmprofils für LogRhythm

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • In einem Alarmprofil, das Sie erstellen und benennen, geben Sie an, welche Alarme Sie aus abrufen möchten LogRhythmClient-Konsole. Sie definieren auch, wie sie Feldern in zugeordnet werden Now PlatformSecurity Incident.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Basierend auf dem konfigurierten Alarmprofil kann ein Alarmprofil alle Arten von Alarmen sofort erfassen, Sie können jedoch Filterkriterien verwenden, um bestimmte Arten von Alarmen zu erfassen. Wird verwendet Now PlatformIntegration werden alle konfigurierten Alarmregeln oder bestimmte basierend auf dem erstellten Profil erfasst. Alarmregeln wie nur Alarme mit hohem Risiko können dann gefiltert werden, um anzugeben, welche Alarme Security Incidents erstellen sollen. Bevor Security Incidents erstellt werden, werden einzelne Feldwerte in den gefilterten Alarmen den entsprechenden Feldern in zugeordnet Now PlatformSecurity Incident. Diese Konfiguration erfolgt über ein Alarmprofil in Ihrem Now PlatformInstanz.

    Prozedur

    1. Navigieren zu Alle > LogRhythm-Integrationan.
    2. Wählen Sie aus LogRhythm-Alarmprofile Modul, das angezeigt werden soll Alarmprofile Liste.
      Abbildung : 1. Alarmprofil
      Erstellen Sie ein Alarmprofil
    3. Klicken Sie auf, um ein neues Alarmprofil zu erstellen Neu .
      Ein neues Alarmprofilformular wird angezeigt. Oben auf der Seite in der Fortschrittsleiste Name Ist ausgewählt. Diese Leiste verfolgt Ihren Fortschritt während der Konfiguration.
    4. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. Alarmprofil
      Feld Beschreibung
      Name Name für das Alarmprofil. Dieser Name hilft Ihnen, die Alarmtypen zu identifizieren, z. B. Nicht autorisierter Zugriff ( VPN ), Malware , Oder Phishing .
      Kurzbeschreibung Kurztext für zusätzliche Informationen zum Alarmprofil, das den Typ der Alarme oder eine Alarmkategorie enthalten kann. Eine Beispielbeschreibung: Alle Alarme, die nicht autorisierten Powershell- und Sudo-Zugriffsversuchen zugeordnet sind.
      Quelle Quellserver aus der Auswahlliste. Die Liste besteht aus LogRhythmKonfigurationen, die Sie bereits eingerichtet haben, z. B. logrhythm-Server-A . Weitere Informationen finden Sie unter Installieren Sie das Plugin, und konfigurieren Sie es LogRhythm.
      Bestellung

      Alarmprofilpriorität. Dieses Feld gibt die Reihenfolge an, in der die Alarmprofile ausgeführt werden, wenn mindestens zwei Alarmprofile die auslösenden Bedingungen teilen.
      Aktiv Standardmäßig ist diese Option nicht ausgewählt. Nachdem Sie alle Schritte zum Einrichten des Alarmprofils abgeschlossen und auf geklickt haben Beenden , Sie werden aufgefordert, dieses Kontrollkästchen auszuwählen, um das Alarmprofil zu aktivieren. Wenn das Alarmprofil aktiv ist, werden Alarme aus abgerufen LogRhythmClientkonsole automatisch.
    5. Klicken Sie Auf Fahren Sie Fort Um Ihre Daten zu speichern und mit dem Zuordnungsformular fortzufahren.

      Wenn die Validierung erfolgreich ist, werden die Seite und neu geladen Zuordnung Formular wird angezeigt. Sie können mit der Konfiguration erst fortfahren, wenn Sie Ihre Verbindung und Ihre Anmeldeinformationen erfolgreich validiert haben.