Zuordnung
Nachdem Sie ausgewählt haben LogRhythm Quelle, die Sie erfassen möchten. Sie müssen einzelne zuordnen LogRhythm Alarmfelder für ServiceNow AI Platform Security Incident-Felder.
Die Zuordnung von Alarmen umfasst die folgenden Aufgaben:
- Zuordnung LogRhythm Alarme. Für diese Aufgabe Listen Sie Beispielalarme auf, und erfassen (abrufen) Sie sie mithilfe der Alarm-IDs oder der neuesten Alarme aus dem LogRhythm Client-Konsole.
- Die Beispielalarmfelder sind in drei Gruppen kategorisiert:
- Alarmfelder : Die verfügbaren Alarmfelder und die entsprechenden Werte werden angezeigt.
- Ereignisfelder : Die verfügbaren Ereignisfelder und die entsprechenden Werte werden angezeigt.
- DrillDownLog-Felder : Die verfügbaren Drilldown-Protokollfelder und die entsprechenden Werte werden angezeigt.
- Jede von Ihnen abgerufene Alarm-ID wird als Registerkarte angezeigt. Überprüfen Sie auf den Registerkarten „Alarm-ID“, ob alle Felder für kritische Alarme aus dem vorhanden sind Alarmbeispielerfassung Abschnitt auf der linken Seite des Formulars sind dem zugeordnet SIR-Incident-Feldzuordnung Abschnitt auf der rechten Seite des Formulars.
- Nachdem Sie die Alarme dem zugeordnet haben SIR-Incident-Feldzuordnung Feld können Sie sehen, dass die Alarmkategorie auch in angezeigt wird Eingabeausdruck Feld. Beispiel: ${Alarm: Alarmid}$ .
- Sie können die Konfiguration ändern, indem Sie dem Security Incident Felder hinzufügen oder entfernen. Verfolgen Sie übersehene oder duplizierte Felder mit der bereitgestellten Farbcodierung nach.
- Sie können Alarme filtern, um anzugeben, welche Alarme in die SIR-Anwendung aufgenommen werden. Sie können die Alarme entweder direkt filtern oder die Alarmkategorien verwenden, um Ihre Suche basierend auf Alarmen, Ereignissen oder DrillDownLogs aufzurufen.
- Verwenden Sie den Skripteditor, wenn Sie Werte für die Felder Priorität und Kategorie im Security Incident formatieren möchten.
Der nächste Schritt ist bis Zuordnung LogRhythm Alarmfelder zu Security Incident-Feldern.