Zusätzliche Optionen für LogRhythm Alarme
Die LogRhythm Die Enterprise-Integration bietet Ihnen die Möglichkeit, automatisch zu aktualisieren oder zu schließen LogRhythm Alarme basierend auf den Security Incidents.
Vorbereitungen
Erforderliche Rolle: sn_si.Analyst
Warum und wann dieser Vorgang ausgeführt wird
Wenn Sie die Option Alarm-Erstaktualisierungen aktivieren, werden die Alarme automatisch in den LogRhythm-Kommentaren mit den ersten Alarmaktualisierungen aktualisiert. Wenn Sie die Option Alarm-Abschlussaktualisierungen aktivieren, werden die Alarme in LogRhythm zusammen mit dem SIR-Abschlusscode und und den Abschlusskommentaren automatisch geschlossen.
Die LogRhythm Alarm-ID ist mit verbunden ServiceNow AI Platform Security Incident-ID während des gesamten Lebenszyklus des Incident. Diese Korrelation ermöglicht das gleichzeitige und automatisierte Schließen von Security Incidents/Alarmen. Wenn Security Incident Response( SIR) Der Security Incident-Datensatz ist geschlossen. Im Alarm auf wird ein Kommentar veröffentlicht LogRhythm Webkonsole. Dieser Kommentar gibt an, dass der Alarm basierend auf dem Schließen von geschlossen wurde ServiceNow AI Platform Security Incident. Die Incident-Nummer und eine URL, die zur Referenz auf den Security Incident zurückgreift, sind auch im Kommentarabschnitt in enthalten LogRhythm Alarm.
Prozedur
- Klicken Sie auf Zusätzliche Optionen Gehen Sie auf den Fortschrittsbalken.
-
Um die automatisierte Alarmaktualisierung für die SIR-Incident-Erstellung zu verwenden, wählen Sie aus den folgenden Optionen aus, um Ihren Alarmabruf zu konfigurieren.
Option Beschreibung LogRhythm-Alarme bei Erstellung des SIR-Incidents aktualisieren Standard ist gelöscht. Wählen Sie diese Option aus, um automatisch zu aktualisieren LogRhythm Alarmiert, wenn der SIR-Incident erstellt wird. Anfangskommentare, die an den LogRhythm-Alarm zurückgesendet werden Gibt die ersten Kommentare an, die für veröffentlicht werden LogRhythm Alarm.
Bearbeiten Sie den Standardtext, der im Abschnitt „Kommentare“ angezeigt wird, indem Sie die Ersetzungsvariablen im Format ${field Name}$ für ein beliebiges Feld im SIR-Incident-Formular hinzufügen oder ändern.
Beispiel: Der zugehörige ServiceNow Security Incident ${Number}$ wurde erstellt und ${Assignment Group}$ zugewiesen. Zusätzliche Details zu dem Security Incident finden Sie hier – ${URL}$ .
-
Um die automatisierte Alarmaktualisierung für den SIR-Incident-Abschluss zu verwenden, wählen Sie aus den folgenden Optionen aus, um Ihren Alarmabruf zu konfigurieren.
Option Beschreibung LogRhythm-Alarme bei Abschluss des SIR-Incidents schließen Standard ist gelöscht. Wählen Sie diese Option aus, um automatisch zu schließen LogRhythm Alarmiert, wenn der SIR-Incident geschlossen wird. Abschlusskommentare, die an den LogRhythm-Alarm zurückgesendet werden Gibt die Abschlusskommentare an, die für veröffentlicht werden LogRhythm Alarm.
Bearbeiten Sie den Standardtext, der im Abschnitt „Kommentare“ angezeigt wird, indem Sie die Ersetzungsvariablen im Format ${field Name}$ für ein beliebiges Feld im SIR-Incident-Formular hinzufügen oder ändern.
Beispiel: Der zugehörige ServiceNow Security Incident ${Number}$ wurde vom SOC-Analyst-${Geschlossen von}$ mit den folgenden Abschlussnotizen geschlossen: ${close Notes}$. Zusätzliche Details zu dem Security Incident finden Sie hier – ${URL}$ .
- Klicken Sie Auf Beenden Zum Speichern des Alarmprofils.