Installieren Sie das Plugin, und konfigurieren Sie es LogRhythm

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Bevor Sie die Integration in Ihrer -Instanz ausführen, führen Sie die Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in Security Operations auf der Seite Now Platform®integriert werden kann.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Führen Sie vor der Installation die folgende Setup-Prüfliste aus. Diese Setupaufgaben sind für eine reibungslose Installation und Konfiguration erforderlich. Die neueste Version LogRhythm ist 7.8 oder höher.
    Hinweis:
    Ihre vorhandenen Alarmprofile werden in der neuesten Version LogRhythm nicht mehr unterstützt. Sie müssen daher neue Alarmprofile erstellen und die erforderlichen Konfigurationen durchführen.
    Setupaufgabe Beschreibung

    Stellen Sie sicher, dass Sie die erforderlichen Rollen Now Platform® und Security Incident Response (SIR) zugewiesen haben.

    		 Die folgenden Rollen sind für die Installation, Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Der Systemadministrator (admin) installiert das Anwendungs-Plugin und weist die Rolle „Security Incident-Administrator“ (sn_si.admin) zu.
    • (sn_si.admin) überwacht die folgenden Aufgaben:
      • Benennt, erstellt und bearbeitet Alarmprofile.
      • Ordnet Alarme zu und filtert sie – identifiziert bestimmte LogRhythm -Alarme, die Security Incidents erstellen, und konfiguriert, wie diese Alarmfelder einem Now Platform® -Security Incident zugeordnet werden.
      • Zeigt eine Vorschau der Details von Security Incidents auf Richtigkeit an, bevor die Konfiguration abgeschlossen wird.
      • Erfasst historische Alarme und plant abgerufene Alarme.
      • Weist die Rolle „Security Incident-Analyst“ (sn_si.analyst) zu.
      • Diese Rolle hat auch Zugriff auf das Modul Security Operations.
    • Der Security Incident-Analyst (sn_si.analyst) reagiert auf Security Incidents, die basierend auf den Alarmprofileinstellungen erstellt werden.

    Rufen Sie einen LogRhythm API-Anwendernamen und ein Passwort ab, und vergewissern Sie sich, dass Sie Version LogRhythm  7.8 oder höher verwenden.

    		 Informationen zu API-Schlüsseln und zur Erstellung eines Accounts finden Sie auf der Produktwebsite: LogRhythm Enterprise-Website. Anwenderaccounts, Anmeldeinformationen und Zertifikate müssen vor der Installation der Anwendung ordnungsgemäß konfiguriert werden.

    Die -Integration erfordert LogRhythm Version 7.8 oder höher und die LogRhythm REST APIs.

    Weitere Informationen finden Sie unter Richten Sie die REST API für ein LogRhythm.
    Stellen Sie sicher, dass Sie einen MID-Server installiert und konfiguriert haben.

    In Ihrer Umgebung Now Platform ist ein MID-Server erforderlich. Auf der Website der ServiceNow-Produktdokumentation finden Sie Informationen zum Einrichten und Konfigurieren von MID-Servern.

    Stellen Sie sicher, dass die Kernanwendungen ServiceNow, die zur Unterstützung der Integration erforderlich sind, installiert und aktiviert sind, bevor Sie die Anwendung für die Integration installieren.

    Für das Rome-Release und spätere Familienreleases ist das Plugin Security Incident Response Dependency (com.snc.si_dep) erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen für die Integration erforderlichen Security Operations -Anwendungen installieren und aktivieren.

    Vergewissern Sie sich, dass die folgenden Security Operations -Anwendungen über ServiceNow Storeinstalliert und aktiviert sind. Falls nicht installiert, installieren und aktivieren Sie jeweils nur eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten.

    1. Security Incident Response
    2. Security Integration Framework
    3. Security Support Common
    4. Security Support Orchestration

    Weitere Informationen zum Einrichten der Instanz Now Platform für die Integration finden Sie unter Rufen Sie eine Berechtigung für ein Produkt oder eine Anwendung Security Operations der ab und Aktivieren Sie eine ServiceNow Store -Anwendung.
    Wichtig:
    Wenn Verbindungsprobleme mit der Clientkonsole LogRhythm auftreten, lesen Sie Überprüfen Sie die Konnektivität für LogRhythm.

    Prozedur

    1. Wenn Sie die Anwendung für die Integration nicht installiert haben, rufen Sie Installieren Sie eine Security Operations -Integration auf und befolgen Sie die Schritte zur Installation.
    2. Navigieren Sie nach Abschluss der Installation zu Integrationen > Integrationskonfigurationen und suchen Sie die Kachel LogRhythm.
    3. Klicken Sie auf Konfigurieren.
      Aufgabe: Klicken Sie auf die Schaltfläche Konfigurieren für LogRhythm.
    4. Klicken Sie auf den Link Neue Konfiguration.
      Aufgabe: Klicken Sie auf den Link Neue Konfiguration.
    5. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. LogRhythm-Konfiguration
      Feld Beschreibung
      Name LogRhythm Servername, z.  B. logrhythm-server-a.
      Basis-URL Basis-URL, die die LogRhythm REST API hostet.

      Der MID-Server ermöglicht den Zugriff auf das Netzwerk, in dem sich die LogRhythm-Clientkonsole befindet. Diese URL gibt an, wo der Server LogRhythm in diesem Netzwerk gehostet wird. Klicken Sie auf das Schlosssymbol rechts, um das Feld zu bearbeiten und Text für eine URL einzugeben, z. B. https://logrhythm.secops-eng.com:8501/.
      API-Token Geben Sie das Token ein, das Ihrer REST API zugeordnet ist, die Sie in der Client-Konsole LogRhythm erstellt haben.
      Lokale Bereitstellung Option zum Auswählen, ob es sich um eine lokale LogRhythm -Bereitstellung handelt.
      MID-Server Spezifischer MID-Server, der in Ihrer Umgebung eingerichtet ist. In dieser Auswahlliste sind nur die MID-Server verfügbar, die aktiv sind und validiert wurden.

      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular.

      Ein ausgefülltes LogRhythm-Konfigurationsformular.
    6. Klicken Sie auf Validieren und speichern.
      Nach erfolgreichem Abschluss der Validierung wird eine Meldung angezeigt, und die Seite „Konfigurationen LogRhythm “ wird neu geladen. Der nächste Schritt besteht im Erstellen eines Alarmprofils.

    Nächste Maßnahme

    Nachdem Sie die Validierung erfolgreich abgeschlossen haben, gehen Sie als Nächstes zu Erstellen eines Alarmprofils für LogRhythm.