플러그인 설치 및 구성 LogRhythm

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • 인스턴스에서 통합을 실행하기 전에 설치 및 구성 단계를 완료하여 애플리케이션이 보안 운영ServiceNow AI Platform®.

    시작하기 전에

    필요한 역할: 관리자

    설치하기 전에 다음 설정 검사 목록을 완료합니다. 이러한 설정 작업은 원활한 설치 및 구성을 위해 필요합니다. 최신 LogRhythm 버전은 7.8 이상입니다.
    주:
    기존 경보 프로파일은 최신 LogRhythm 버전에서 더 이상 지원되지 않으므로 새 알람 프로파일을 만들고 필요한 구성을 수행해야 합니다.
    설정 작업 설명

    필수 ServiceNow AI Platform® 역할과 보안 인시던트 응답(SIR) 역할을 할당했는지 확인합니다.

    		 예상 결과의 설치, 구성 및 검증에 필요한 역할은 다음과 같습니다.
    • 시스템 관리자(admin)가 애플리케이션 플러그인을 설치하고 보안 인시던트 관리자(sn_si.admin) 역할을 할당합니다.
    • (sn_si.admin)은 다음 작업을 감독합니다.
      • 경보 프로파일의 이름을 지정하고, 생성하고, 편집합니다.
      • 경보 매핑 및 필터링 – 보안 인시던트를 생성하는 특정 LogRhythm 경보를 식별하고 이러한 경보 필드가 보안 인시던트에 ServiceNow AI Platform® 매핑되는 방법을 구성합니다.
      • 구성을 완료하기 전에 보안 인시던트 상세 정보가 정확한지 미리 봅니다.
      • 과거 경보를 수집하고 끌어온 경보를 예약합니다.
      • 보안 인시던트 분석가(sn_si.analyst) 역할을 할당합니다.
      • 이 역할은 모듈에 대한 보안 운영 액세스 권한도 갖습니다.
    • 보안 인시던트 분석가(sn_si.analyst)는 경보 프로파일 설정을 기반으로 생성된 보안 인시던트에 응답합니다.

    API 사용자 이름 및 비밀번호를 확보 LogRhythm 하고 버전 LogRhythm 7.8 이상을 사용 중인지 확인하십시오.

    		 API 키에 대한 자세한 내용을 확인하고 계정을 생성하려면 제품 웹 사이트( LogRhythm Enterprise 웹 사이트)를 방문하십시오. 애플리케이션을 설치하기 전에 사용자 계정, 자격 증명 및 인증서를 올바르게 구성해야 합니다.

    통합하려면 버전 7.8 이상과 REST API가 LogRhythm 필요합니다LogRhythm.

    에 대한 REST API 설정 LogRhythm 문서를 참조하십시오.
    MID Server를 설치하고 구성했는지 확인하십시오.

    사용자 ServiceNow AI Platform 환경에는 MID 서버가 필요합니다. MID Server를 설정하고 구성하는 방법에 대한 정보는 ServiceNow 제품 설명서 웹 사이트를 참조하십시오.

    ServiceNow 통합을 위해 애플리케이션을 설치하기 전에 통합을 지원하는 데 필요한 핵심 애플리케이션이 설치되고 활성화되었는지 확인합니다.

    Rome 릴리스 및 이후 제품군 릴리스의 경우 종속성 플러그인(com.snc.si_dep)이 보안 인시던트 응답 필요합니다. 이 플러그인은 제품을 지원하는 데 필요한 모든 종속성을 보안 인시던트 응답 자동으로 설치합니다. 통합에 필요한 다른 보안 운영 애플리케이션을 설치하고 활성화하기 전에 이 플러그인을 설치하고 활성화합니다.

    에서 ServiceNow Store다음 보안 운영 애플리케이션이 설치되고 활성화되는지 확인합니다. 설치되지 않은 경우 원활한 설치를 위해 다음 순서로 한 번에 하나의 애플리케이션을 설치하고 활성화합니다.

    1. 보안 인시던트 응답
    2. 보안 통합 프레임워크
    3. Security Support Common
    4. 보안 지원 오케스트레이션

    통합을 위한 인스턴스 설정에 ServiceNow AI Platform 대한 자세한 내용은 해당 문서를 애플리케이션 활성화 ServiceNow Store참조하십시오제품 또는 애플리케이션에 대한 보안 운영 권리 가져오기.
    중요사항:
    클라이언트 콘솔에 대한 연결 문제가 LogRhythm 있는 경우 를 참조하십시오 에 대한 연결 확인 LogRhythm.

    프로시저

    1. 통합을 위해 애플리케이션을 설치하지 않은 경우 이를 확인하고 보안 운영 통합 설치 단계에 따라 설치합니다.
    2. 설치가 완료되면 다음으로 이동합니다. 통합 > 통합 구성 타일을 LogRhythm 찾습니다.
    3. 구성을 클릭합니다.
      작업: 에 대한 LogRhythm구성 버튼을 클릭합니다.
    4. New Configuration(새 구성) 링크를 클릭합니다.
      작업: 새 구성 링크를 클릭합니다.
    5. 양식의 필드에 내용을 입력합니다.
      표 1. LogRhythm 구성
      필드 설명
      이름 LogRhythm 서버 이름(예: logrhythm-server-a)
      기본 URL REST API를 호스팅하는 기본 URL입니다 LogRhythm .

      MID Server는 LogRhythm 클라이언트 콘솔이 호스팅되는 네트워크에 대한 액세스를 허용합니다. 이 URL은 해당 네트워크 내에서 서버가 호스트되는 LogRhythm 위치입니다. 오른쪽 끝에 있는 자물쇠 아이콘을 클릭하여 필드를 편집하고 URL 텍스트(예: https://logrhythm.secops-eng.com:8501/)를 입력합니다.
      API 토큰 클라이언트 콘솔에서 생성한 LogRhythm REST API와 연결된 토큰을 입력합니다.
      온 프레미스 배포 온 프레미스 배포인지 LogRhythm 선택하는 옵션입니다.
      MID 서버 사용자 환경에 설치된 특정 MID 서버. 활성 상태이고 유효성이 확인된 MID Server만 이 선택 목록에서 사용할 수 있습니다.

      다음 그림은 완성된 폼의 예입니다.

      완성된 LogRhythm 구성 양식.
    6. 확인 및 저장을 클릭합니다.
      확인이 성공적으로 완료되면 메시지가 표시되고 구성 페이지가 다시 로드됩니다 LogRhythm . 다음 단계는 경보 프로필을 만드는 것입니다.

    다음에 수행할 작업

    유효성 검사가 성공적으로 완료된 후 다음 단계는 입니다 에 대한 경보 프로파일 생성 LogRhythm.