Zuordnung LogRhythmAlarme für den Security Incident
Nachdem Sie ausgewählt haben LogRhythmQuelle, die Sie erfassen möchten. Sie müssen einzeln zuordnen LogRhythmAlarmfelder für Now PlatformSecurity Incident-Felder.
Die Zuordnung von Alarmen umfasst die folgenden Aufgaben:
- Karte LogRhythmAlarme. Für diese Aufgabe Listen Sie Beispielalarme auf und erfassen (abrufen) sie mithilfe der Alarm-IDs oder der neuesten Alarme von LogRhythmClient-Konsole.
- Die Beispielalarmfelder sind in drei Gruppen kategorisiert:
- Alarmfelder : Die verfügbaren Alarmfelder und die entsprechenden Werte werden angezeigt.
- Ereignisfelder : Die verfügbaren Ereignisfelder und die entsprechenden Werte werden angezeigt.
- DrillDownLog-Felder : Die verfügbaren Drilldown-Protokollfelder und die entsprechenden Werte werden angezeigt.
- Jede von Ihnen abgerufene Alarm-ID wird als Registerkarte angezeigt. Überprüfen Sie auf den Registerkarten „Alarm-ID“, ob alle Felder für kritische Alarme aus der stammen Alarmbeispielerfassung Der Abschnitt auf der linken Seite des Formulars ist zugeordnet Zuordnung des SIR-Incident-Felds Abschnitt auf der rechten Seite des Formulars.
- Nachdem Sie die Alarme zugeordnet haben Zuordnung des SIR-Incident-Felds Feld können Sie sehen, dass die Alarmkategorie auch in angezeigt wird Eingabeausdruck Feld. Beispiel: ${Alarm: Alarmid}$ .
- Sie können die Konfiguration ändern, indem Sie dem Security Incident Felder hinzufügen oder entfernen. Verfolgen Sie übersehene oder duplizierte Felder mit der bereitgestellten Farbcodierung nach.
- Sie können Alarme filtern, um anzugeben, welche Alarme in die SIR-Anwendung erfasst werden. Sie können die Alarme entweder direkt filtern oder die Alarmkategorien verwenden, um Ihre Suche basierend auf Alarmen, Ereignissen oder DrillDownLogs zu detaillieren.
- Verwenden Sie den Skripteditor, wenn Sie Werte für die Felder „Priorität“ und „Kategorie“ im Security Incident formatieren möchten.
Der nächste Schritt ist bis Karte LogRhythmAlarmfelder zu Security Incident-Feldern.