Zusätzliche Optionen für LogRhythmAlarme

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Die LogRhythmDie Enterprise-Integration bietet Ihnen die Möglichkeit, automatisch zu aktualisieren oder zu schließen LogRhythmAlarme basierend auf den Security Incidents.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie die Option „erste Alarmaktualisierungen“ aktivieren, werden die Alarme automatisch in den LogRhythm-Kommentaren mit den ersten Alarmaktualisierungen aktualisiert. Wenn Sie die Option „Aktualisierung des Alarmabschlusses“ aktivieren, werden die Alarme in LogRhythm zusammen mit dem SIR-Abschlusscode und und den Abschlusskommentaren automatisch geschlossen.

    Die LogRhythmAlarm-ID ist mit verbunden Now PlatformSecurity Incident-ID während des gesamten Lebenszyklus des Incidents. Diese Korrelation ermöglicht den gleichzeitigen und automatisierten Abschluss von Security Incidents/Alarmen. Wenn Security Incident Response( SIR) Der Security Incident-Datensatz ist geschlossen. Im Alarm auf wird ein Kommentar veröffentlicht LogRhythmWebkonsole. Dieser Kommentar gibt an, dass der Alarm basierend auf dem Schließen von geschlossen wurde Now PlatformSecurity Incident. Die Incident-Nummer und eine URL, die zur Referenz auf den Security Incident zurückverweist, sind auch im Kommentarabschnitt in enthalten LogRhythmAlarm.

    Prozedur

    1. Klicken Sie auf Zusätzliche Optionen Gehen Sie auf den Fortschrittsbalken.
    2. Um die automatisierte Alarmaktualisierung für die Erstellung von SIR-Incidents zu verwenden, wählen Sie aus den folgenden Optionen aus, um Ihren Alarmabruf zu konfigurieren.
      OptionBeschreibung
      LogRhythm-Alarme bei Erstellung des SIR-Incidents aktualisieren Standard ist gelöscht. Wählen Sie diese Option aus, um automatisch zu aktualisieren LogRhythmAlarme, wenn der SIR-Incident erstellt wird.
      Anfangskommentare, die an den LogRhythm-Alarm zurückgesendet werden

      Gibt die ersten Kommentare an, die für veröffentlicht werden LogRhythmAlarm.

      Bearbeiten Sie den Standardtext, der im Abschnitt „Kommentare“ angezeigt wird, indem Sie die Ersetzungsvariablen im Format $⁠{Feldname}$ für ein beliebiges Feld im SIR-Incident-Formular hinzufügen oder ändern.

      Beispiel: Der zugehörige ServiceNow Security Incident ${Number}$ wurde erstellt und ${Zuweisungsgruppe}$ zugewiesen. Zusätzliche Details finden Sie zum Security Incident hier – ${URL}$ .
    3. Um die automatisierte Alarmaktualisierung für den Abschluss von SIR-Incidents zu verwenden, wählen Sie aus den folgenden Optionen aus, um Ihren Alarmabruf zu konfigurieren.
      OptionBeschreibung
      LogRhythm-Alarme bei Abschluss des SIR-Incidents schließen Standard ist gelöscht. Wählen Sie diese Option aus, um automatisch zu schließen LogRhythmAlarme, wenn der SIR-Incident geschlossen wird.
      Abschlusskommentare, die an den LogRhythm-Alarm zurückgesendet werden

      Gibt die Abschlusskommentare an, die für veröffentlicht werden LogRhythmAlarm.

      Bearbeiten Sie den Standardtext, der im Abschnitt „Kommentare“ angezeigt wird, indem Sie die Ersetzungsvariablen im Format $⁠{Feldname}$ für ein beliebiges Feld im SIR-Incident-Formular hinzufügen oder ändern.

      Beispiel: Der zugehörige ServiceNow Security Incident ${Number}$ wurde vom SOC-Analysten-${Geschlossen von}$ mit den folgenden Abschlussnotizen geschlossen: ${close Notes}$. Zusätzliche Details finden Sie zum Security Incident hier – ${URL}$ .
    4. Klicken Sie Auf Beenden Zum Speichern des Alarmprofils.
    Wenn Sie keine Notizen sehen, die darauf hinweisen, dass der Alarm im Security Incident erfolgreich geschlossen wurde, überprüfen Sie die Arbeitsnotizen, um weitere Informationen darüber zu erhalten, wie Sie das Problem beheben können. Überprüfen Sie auch Ihre Serververbindung. Wenn Sie bestätigen Now PlatformSecurity Incident wurde geschlossen, und der Server ist nicht abgelaufen. Möglicherweise müssen Sie den Alarm auf manuell schließen LogRhythmWebkonsole.