Zuordnung LogRhythm Alarmfelder zu Security Incident-Feldern

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Sie ordnen den Security Incident-Feldern einzelne Alarmfelder zu. Die vorkonfigurierte Zuordnung kann bearbeitet werden, und die Farbcodierung für die Felder hilft Ihnen, Alarme zu überwachen, die Sie bereits zugeordnet haben. Mit diesem Schritt können Sie visualisieren, wie sich Ihre Änderungen auf die Felder für den Security Incident auswirken.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Wenn Sie mit nicht vertraut sind LogRhythm Alarme, navigieren Sie zu LogRhythm Client-Konsole und überprüfen Sie einige Beispiele für Alarm-IDs. Für das folgende Beispiel: LogRhythm Alarme 9468 Und 9474 Wurden verwendet, um die Alarme dem Security Incident zuzuordnen.

    Warum und wann dieser Vorgang ausgeführt wird

    Mit diesem Formular ordnen Sie zu LogRhythm Alarmregeln auf der linken Seite zu den Security Incident-Feldern auf der rechten Seite.

    Die folgende Abbildung zeigt die Standardzuordnung von Alarmen, die für jedes Alarmprofil vorkonfiguriert ist. Diese Standardzuordnung kann bearbeitet werden, und mit diesem Formular passen Sie die Felder an, die den Security Incident ausfüllen. Nachdem Sie diese Zuordnung abgeschlossen haben, können Sie sehen, wie sich das Hinzufügen oder Entfernen von Alarmfeldern potenziell auf die Feldwerte für den Security Incident auswirkt.

    Auf der linken Seite dieses Formulars in der folgenden Abbildung LogRhythm Alarmregeln sind umrissen. Die Werte dieser Alarmregeln werden den Security Incident-Feldern auf der rechten Seite des Formulars zugeordnet.

    Prozedur

    1. Klicken Sie nach dem Erstellen eines Alarmprofils für LogRhythm auf Zuordnung Auf der Fortschrittsleiste.
    2. In Alarmbeispielerfassung Geben Sie bis zu fünf Beispiele ein LogRhythm Alarm-IDs durch Kommas getrennt ( 9468,9474 ).
      Aufgabe: Geben Sie Alarme ein, die für ein Alarmprofil abgerufen werden sollen.
    3. Klicken Sie neben dem Alarmfeld auf Alarme Abrufen .

      Der Abruf für Beispielalarme kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt.

      Nachdem die Beispielalarm-IDs übermittelt und erfolgreich aus abgerufen wurden LogRhythm Server, die Alarmfelder und die entsprechenden Werte werden auf Registerkarten angezeigt.
      Hinweis:
      Nachdem eine Alarm-ID erfolgreich abgerufen wurde, wird ServiceNow AI Platform Kann die folgende Nachricht zurückgeben: Die folgenden neuen Felder sind in Kürze zum Filtern verfügbar. Laden Sie dieses Profil in einigen Minuten neu, wenn eine Filterung basierend auf diesen Feldern erforderlich ist. Itemspacketsin, itemspacketsout .

      Diese Meldung tritt auf, wenn der einzelne Alarm, der abgerufen wurde, Feldnamen enthält, die zuvor nicht von verarbeitet wurden ServiceNow AI Platform. Diese Felder sind für die Zuordnung verfügbar. Wenn diese Nachricht angezeigt wird, laden Sie das Formular neu, damit diese Felder in den Filterauswahllisten des Bedingungsgenerators angezeigt und verfügbar sind, wenn Sie bereit sind, Filterbedingungen festzulegen.

      Durch die Erfassung dieser Beispielalarme in der Alarmprofilkonfiguration können Sie verhindern, dass Alarmfelder dem Security Incident zugeordnet werden, die keine Werte enthalten. Außerdem werden Alarmfelder mit Werten an den entsprechenden Feldern im Security Incident ausgerichtet. Dieser Schritt stellt sicher, dass alle Felder für kritische Alarme zugeordnet sind und keine fehlenden Feldwerte für den Security Incident vorhanden sind.

      Damit Sie sicherstellen können, dass im Zuordnungsprozess keine Alarme übersehen oder dupliziert werden, sind Alarmfelder farbcodiert. Ein hellblaues Alarmfeld ( Account , AlarmRuleID , Alarmstatus , Usw.) gibt an, dass noch kein Feld für die Zuordnung zu einem Security Incident ausgewählt ist.

      Ein graues Feld ( Alarmdatum , AlarmID , Und Alarmregelname ) Gibt an, dass bereits ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen, da in bestimmten Fällen ein Alarmfeld mehreren Feldern in einem Security Incident zugeordnet werden kann. Zum Beispiel die Erkennbare Elemente Und Arbeitsnotiz Felder können mehr als einen Wert haben.

    4. Klicken Sie auf, um die Beispielalarmdaten zu löschen Löschen Sie Beispielalarmdaten .
    5. Um die Standardkonfiguration für den Security Incident zu bearbeiten, führen Sie die folgenden Schritte aus, um ein Feld hinzuzufügen:
      Das Beispiel veranschaulicht, wie ein Feld gesucht, hinzugefügt und zugeordnet wird.
      1. Klicken Sie unten rechts im Formular auf das Plus-Symbol.
        Ein neues Feld wird angezeigt.
      2. Wählen Sie in der Spalte Security Incident ein verfügbares Feld aus der Auswahlliste aus.

        In der erweiterten Auswahlliste sind einige der Felder schattiert. Beispiel: Kategorie Hat einen grauen Hintergrund, was darauf hinweist, dass er im Security Incident zugeordnet wurde. Ähnlich der Farbcodierung für LogRhythm Alarmfelder. Diese Farbcodierung für die Security Incident-Felder stellt sicher, dass Werte aus den Alarmfeldern nicht versehentlich demselben Security Incident-Feld zugeordnet werden.

        In der Abbildung oben die Alarmregel ${Alarm:classificationName}$ Ist bereits zugeordnet Kategorie Feld im Security Incident in diesem Profil.

        Hinweis:
        Das Feld „erkennbares Element“ kann mehr als dem Feld desselben Security Incidents zugeordnet werden, sodass mehrere erkennbare Elemente angezeigt werden können. Ebenso wird Konfigurationselement Und Arbeitsnotizen Felder können zugeordnet werden, um mehrere Werte anzuzeigen.

        Auf der Seite „Alarmbeispielerfassung“ des Formulars gibt Blau an, dass kein Alarmregelfeld zugeordnet wurde. Grau gibt an, dass es zugeordnet wurde. In der Auswahlliste auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars gibt weiß an, dass ein Feld nicht zugeordnet wurde. Grau gibt an, dass ein Feld zugeordnet wurde. Verwenden Sie diese Farbcodierung, um Ihre Feldzuordnung nachzuverfolgen.

        In der obigen Abbildung Betroffener Anwender Wurde aus der Auswahlliste als neues Feld im Security Incident ausgewählt.

      3. Klicken Sie im Abschnitt „Alarmbeispielerfassung“ auf der linken Seite des Formulars mit der linken Maustaste, um die gewünschte Alarm-ID im Feld „Eingabeausdruck“ auszuwählen.

        In der obigen Abbildung Melden Sie Sich An Wurde ausgewählt.

      4. Ziehen Sie es in das gelöschte Feld, und geben Sie es frei.
        In der linken Spalte im Abschnitt SIR-Incident-Feldzuordnung der neue Wert für Betroffener Anwender Feld wird angezeigt. In diesem Fall wird Melden Sie Sich An Wert aus LogRhythm Alarm wird in angezeigt Betroffener Anwender Feld im Security Incident.
    6. Alternativ können Sie zum manuellen Eingeben eines Werts für Felder in der Spalte „Eingabeausdruck“ Ihren Cursor in das Feld „Eingabeausdruck“ setzen und einen gewünschten Alarmwert eingeben.

      Beispiel: In der obigen Abbildung wurde ein anderes Feld hinzugefügt ( Zuweisungsgruppe ) Zum Security Incident-Formular, und Security Incident-Zuweisung Wurde manuell in das Feld eingegeben.

    7. Fahren Sie mit der Bearbeitung der vorkonfigurierten Zuordnung nach Bedarf fort.
      Wenn Sie Werte aus übersetzen müssen LogRhythm Alarmfelder mit Werten, die von den Feldern im Security Incident unterstützt werden, können Sie den Skript-Editor verwenden. Weitere Informationen finden Sie unter Verwenden Sie zum Formatieren den Skripteditor LogRhythm Werte.

    Nächste Maßnahme

    Nachdem Sie die Feldzuordnung abgeschlossen haben, ist der nächste Schritt bis Alarme für filtern LogRhythm.