Installieren Sie das Plugin, und konfigurieren Sie es LogRhythm

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer
  • Bevor Sie die Integration auf Ihrer Instanz ausführen, führen Sie die Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in integriert wird Security OperationsAuf Now Platform®.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Füllen Sie vor der Installation die folgende Setup-Prüfliste aus. Diese Setup-Aufgaben sind für eine reibungslose Installation und Konfiguration erforderlich. Die neueste LogRhythmVersion ist 7,8 oder höher.
    Hinweis:
    Ihre vorhandenen Alarmprofile werden am neuesten nicht mehr unterstützt LogRhythmVersion, daher müssen Sie neue Alarmprofile erstellen und die erforderlichen Konfigurationen durchführen.
    Setup-Aufgabe Beschreibung

    Stellen Sie sicher, dass Sie die erforderliche zugewiesen haben Now Platform®Und Rollen für die Reaktion auf Security Incidents (SIR).

    Die folgenden Rollen sind für die Installation, Konfiguration und Verifizierung der erwarteten Ergebnisse erforderlich:
    • Der Systemadministrator (Administrator) installiert das Anwendungs-Plugin und weist die Rolle Security Incident-Administrator (sn_si.admin) zu.
    • (sn_si.admin) überwacht die folgenden Aufgaben:
      • Namen, erstellt und bearbeitet Alarmprofile.
      • Ordnet Alarme zu und filtert sie – identifiziert bestimmte LogRhythmAlarme, die Security Incidents erstellen und konfigurieren, wie diese Alarmfelder einem zugeordnet werden Now Platform®Security Incident.
      • Zeigt Security Incident-Details vor dem Abschluss der Konfiguration auf Richtigkeit an.
      • Erfasst historische Alarme und Zeitpläne für abgerufene Alarme.
      • Weist die Rolle „Security Incident-Analyst“ (sn_si.Analyst) zu.
      • Diese Rolle hat auch Zugriff auf Security OperationsModul.
    • Der Security Incident-Analyst (sn_si.Analyst) reagiert auf Security Incidents, die basierend auf den Alarmprofileinstellungen erstellt werden.

    Erhalten Sie einen LogRhythmAPI-Anwendername und Passwort, und überprüfen Sie, ob Sie Version verwenden LogRhythm7,8 oder höher.

    Besuchen Sie die Produktwebsite, um Informationen zu API-Schlüsseln und zum Erstellen eines Accounts zu erhalten: LogRhythm Enterprise-Website . Die Anwenderaccounts, Anmeldeinformationen und Zertifikate müssen vor der Installation der Anwendung ordnungsgemäß konfiguriert werden.

    Die Integration erfordert LogRhythmVersion 7,8 oder höher und LogRhythmREST-APIs.

    Weitere Informationen finden Sie unter Richten Sie die REST-API für ein LogRhythm.

    Stellen Sie sicher, dass Sie einen MID-Server installiert und konfiguriert haben.

    Ein MID-Server ist in erforderlich Now PlatformUmgebung. Siehe ServiceNow-Produktdokumentationswebsite Informationen zum Einrichten und Konfigurieren VON MID-Servern.

    Überprüfen Sie, ob ServiceNowKernanwendungen, die zur Unterstützung der Integration erforderlich sind, werden installiert und aktiviert, bevor Sie die Anwendung für die Integration installieren.

    Für das Rom-Release und spätere Familienveröffentlichungen Security Incident ResponseAbhängigkeits-Plugin (com.snc.si_dep) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung von erforderlich sind Security Incident ResponseProdukt. Installieren und aktivieren Sie dieses Plugin, bevor Sie das andere installieren und aktivieren Security OperationsFür die Integration erforderliche Anwendungen.

    Überprüfen Sie Folgendes Security OperationsAnwendungen werden über installiert und aktiviert ServiceNow Store. Wenn nicht installiert, installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation sicherzustellen.

    1. Security Incident Response
    2. Sicherheitsintegrations-Framework
    3. Allgemeiner Sicherheitssupport
    4. Orchestration Des Sicherheitssupports

    Weitere Informationen zum Einrichten von finden Sie Now PlatformInstanz für die Integration siehe Berechtigung für abrufen Security OperationsProdukt oder AnwendungUnd Aktivieren Sie ein ServiceNow StoreAnwendung.

    Wichtig:
    Wenn Sie Verbindungsprobleme mit haben LogRhythmClientkonsole, siehe Überprüfen Sie die Konnektivität für LogRhythm.

    Prozedur

    1. Wenn Sie die Anwendung für die Integration nicht installiert haben, finden Sie unter Installieren Sie ein Security OperationsIntegrationUnd befolgen Sie die Schritte, um es zu installieren.
    2. Navigieren Sie nach Abschluss der Installation zu Integrationen > Integrationskonfigurationen Und suchen Sie LogRhythmKachel.
    3. Klicken Sie Auf Konfigurieren .
      Aufgabe: Klicken Sie für auf die Schaltfläche „Konfigurieren“ LogRhythm.
    4. Klicken Sie auf Neue Konfiguration Link.
      Aufgabe: Klicken Sie auf den Link „neue Konfiguration“.
    5. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. LogRhythm-Konfiguration
      Feld Beschreibung
      Name LogRhythmServername, z. B. logrhythm-Server-A .
      Basis-URL Basis-URL, die hostet LogRhythmREST-API.

      Der MID-Server ermöglicht den Zugriff auf das Netzwerk, in dem die LogRhythm-Clientkonsole gehostet wird. Diese URL ist, wo LogRhythmServer wird in diesem Netzwerk gehostet. Klicken Sie rechts auf das Schlosssymbol, um das Feld zu bearbeiten und Text für eine URL einzugeben, z. B. https://logrhythm.secops-eng.com:8501/ .

      API-Token Geben Sie das Token ein, das Ihrer REST-API zugeordnet ist, die Sie auf erstellt haben LogRhythmClient-Konsole.
      Lokale Bereitstellung Option zur Auswahl, ob es sich um einen handelt LogRhythmLokale Bereitstellung.
      MID-Server Bestimmter MID-Server, der in Ihrer Umgebung eingerichtet ist. Nur die aktiven MID-Server, die validiert wurden, sind in dieser Auswahlliste verfügbar.

      Die folgende Abbildung ist ein Beispiel für ein ausgefülltes Formular.

      Ein ausgefülltes LogRhythm-Konfigurationsformular.
    6. Klicken Sie Auf Validieren und speichern .
      Nachdem die Validierung erfolgreich abgeschlossen wurde, werden eine Nachricht und die angezeigt LogRhythmKonfigurationsseite wird neu geladen. Der nächste Schritt besteht darin, ein Alarmprofil zu erstellen.

    Nächste Maßnahme

    Nachdem Sie die Validierung erfolgreich abgeschlossen haben, ist der nächste Schritt bis Erstellen eines Alarmprofils für LogRhythm.