Karte LogRhythmAlarmfelder zu Security Incident-Feldern

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Sie ordnen den Security Incident-Feldern einzelne Alarmfelder zu. Die vorkonfigurierte Zuordnung kann bearbeitet werden, und die Farbcodierung für die Felder hilft Ihnen, Alarme zu überwachen, die Sie bereits zugeordnet haben. Mit diesem Schritt können Sie visualisieren, wie sich Ihre Bearbeitungen auf die Felder für den Security Incident auswirken.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Wenn Sie mit nicht vertraut sind LogRhythmAlarme, navigieren Sie zu LogRhythmClient-Konsole und überprüfen Sie einige Beispiel-Alarm-IDs. Für das folgende Beispiel: LogRhythmAlarme 9468 Und 9474 Wurden verwendet, um die Alarme dem Security Incident zuzuordnen.

    Warum und wann dieser Vorgang ausgeführt wird

    Mit diesem Formular ordnen Sie zu LogRhythmAlarmregeln auf der linken Seite zu den Security Incident-Feldern auf der rechten Seite.

    Die folgende Abbildung zeigt die Standardzuordnung von Alarmen, die für jedes Alarmprofil vorkonfiguriert ist. Diese Standardzuordnung kann bearbeitet werden, und mit diesem Formular passen Sie die Felder an, die den Security Incident ausfüllen. Nachdem Sie diese Zuordnung abgeschlossen haben, können Sie sehen, wie sich das Hinzufügen oder Entfernen von Alarmfeldern potenziell auf die Feldwerte für den Security Incident auswirkt.

    Auf der linken Seite dieses Formulars in der folgenden Abbildung LogRhythmAlarmregeln sind umrissen. Die Werte dieser Alarmregeln werden den Security Incident-Feldern auf der rechten Seite des Formulars zugeordnet.

    Prozedur

    1. Klicken Sie nach dem Erstellen eines Alarmprofils für LogRhythm auf Zuordnung Auf dem Fortschrittsbalken.
    2. In Alarmbeispielerfassung Geben Sie bis zu fünf Beispiele ein LogRhythmAlarm-IDs durch Kommas getrennt ( 9468,9474 ).
      Aufgabe: Geben Sie Alarme ein, die für ein Alarmprofil abgerufen werden sollen.
    3. Klicken Sie neben dem Alarmfeld auf Alarme Abrufen .

      Der Abruf für Beispielalarme kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt.

      Nachdem die Beispielalarm-IDs übermittelt und erfolgreich von abgerufen wurden LogRhythmServer, die Alarmfelder und die entsprechenden Werte werden auf Registerkarten angezeigt.
      Hinweis:
      Nachdem eine Alarm-ID erfolgreich abgerufen wurde, wird Now PlatformKann die folgende Nachricht zurückgeben: Die folgenden neuen Felder sind in Kürze zum Filtern verfügbar. Laden Sie dieses Profil in einigen Minuten neu, wenn eine Filterung basierend auf diesen Feldern erforderlich ist. Itemspacketsin, itemspacketsout .

      Diese Meldung tritt auf, wenn der einzelne Alarm, der abgerufen wurde, Feldnamen enthält, die zuvor nicht von verarbeitet wurden Now Platform. Diese Felder sind für die Zuordnung verfügbar. Wenn diese Nachricht angezeigt wird, laden Sie das Formular neu, damit diese Felder in den Filterauswahllisten des Bedingungsgenerators angezeigt und verfügbar sind, wenn Sie bereit sind, Filterbedingungen festzulegen.

      Durch die Erfassung dieser Beispielalarme in der Alarmprofilkonfiguration können Sie verhindern, dass Alarmfelder dem Security Incident zugeordnet werden, die keine Werte enthalten. Außerdem werden Alarmfelder mit Werten an den entsprechenden Feldern im Security Incident ausgerichtet. Dieser Schritt stellt sicher, dass alle Felder für kritische Alarme zugeordnet sind und dass keine Feldwerte für den Security Incident fehlen.

      Damit Sie sicherstellen können, dass im Zuordnungsprozess keine Alarme übersehen oder dupliziert werden, sind Alarmfelder farbcodiert. Ein hellblaues Alarmfeld ( Account , Alarmregel-ID , Alarmstatus , Usw.) gibt an, dass noch kein Feld für die Zuordnung zu einem Security Incident ausgewählt ist.

      Ein graues Feld ( Alarmdatum , Alarm-ID , Und Alarmregelname ) Gibt an, dass bereits ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen, da in bestimmten Fällen ein Alarmfeld mehreren Feldern in einem Security Incident zugeordnet werden kann. Beispiel: Erkennbare Elemente Und Arbeitsnotiz Felder können mehr als einen Wert haben.

    4. Klicken Sie auf, um die Beispielalarmdaten zu löschen Löschen Sie Beispielalarmdaten .
    5. Um die Standardkonfiguration für den Security Incident zu bearbeiten, führen Sie die folgenden Schritte aus, um ein Feld hinzuzufügen:
      Das Beispiel veranschaulicht, wie ein Feld gesucht, hinzugefügt und zugeordnet wird.
      1. Klicken Sie unten rechts im Formular auf das Plussymbol.
        Ein neues Feld wird angezeigt.
      2. Wählen Sie in der Spalte Security Incident ein verfügbares Feld aus der Auswahlliste aus.

        In der erweiterten Auswahlliste sind einige Felder schattiert. Beispiel: Kategorie Hat einen grauen Hintergrund, was darauf hinweist, dass er im Security Incident zugeordnet wurde. Ähnlich der Farbcodierung für LogRhythmAlarmfelder. Diese Farbcodierung für die Security Incident-Felder stellt sicher, dass Werte aus den Alarmfeldern nicht versehentlich demselben Security Incident-Feld zugeordnet werden.

        In der Abbildung oben die Alarmregel ${Alarm:classificationName}$ Ist bereits zugeordnet Kategorie Feld im Security Incident in diesem Profil.

        Hinweis:
        Das Feld „erkennbares Element“ kann mehr als einem Feld desselben Security Incidents zugeordnet werden, sodass mehrere erkennbare Elemente angezeigt werden können. Ebenso wird Konfigurationselement Und Arbeitsnotizen Felder können zugeordnet werden, um mehrere Werte anzuzeigen.

        Blau auf der Seite der Alarmbeispielerfassung des Formulars gibt an, dass kein Alarmregelfeld zugeordnet wurde. Grau gibt an, dass es zugeordnet wurde. In der Auswahlliste auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars gibt weiß an, dass ein Feld nicht zugeordnet wurde. Grau gibt an, dass ein Feld zugeordnet wurde. Verwenden Sie diese Farbcodierung, um Ihre Feldzuordnung nachzuverfolgen.

        In der obigen Abbildung Betroffener Anwender Wurde aus der Auswahlliste als neues Feld im Security Incident ausgewählt.

      3. Klicken Sie im Abschnitt „Alarmbeispielerfassung“ auf der linken Seite des Formulars mit der linken Maustaste, um die gewünschte Alarm-ID im Feld „Eingabeausdruck“ auszuwählen.

        In der obigen Abbildung Melden Sie Sich An Wurde ausgewählt.

      4. Ziehen Sie es in das gelöschte Feld, und lassen Sie es los.
        In der linken Spalte im Abschnitt „SIR-Incident-Feldzuordnung“ der neue Wert für Betroffener Anwender Feld wird angezeigt. In diesem Fall wird Melden Sie Sich An Wert aus LogRhythmAlarm wird in angezeigt Betroffener Anwender Feld im Security Incident.
    6. Um alternativ manuell einen Wert für Felder in der Spalte „Eingabeausdruck“ einzugeben, platzieren Sie Ihren Cursor in das Feld „Eingabeausdruck“, und geben Sie einen gewünschten Alarmwert ein.

      Beispiel: In der obigen Abbildung wurde ein anderes Feld hinzugefügt ( Zuweisungsgruppe ) Zum Security Incident-Formular, und Zuweisung Von Security Incidents Wurde manuell in das Feld eingegeben.

    7. Fahren Sie bei Bedarf mit der Bearbeitung der vorkonfigurierten Zuordnung fort.
      Wenn Sie Werte aus übersetzen müssen LogRhythmAlarmfelder mit Werten, die von den Feldern im Security Incident unterstützt werden, können Sie den Skripteditor verwenden. Weitere Informationen finden Sie unter Verwenden Sie zum Formatieren den Skripteditor LogRhythmWerte.

    Nächste Maßnahme

    Nachdem Sie die Feldzuordnung abgeschlossen haben, besteht der nächste Schritt in Alarme für filtern LogRhythm.