Filtrer les alarmes pour LogRhythm

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • La définition de critères de filtrage pour les alarmes après avoir mappé les champs vous aide à déterminer quelles alarmes doivent être ingérées dans l’application SIR. Le filtrage des alarmes vous aide à réduire considérablement le nombre d’alarmes que vous ingérez lorsque le profil d’alarme est activé.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Utilisez les conditions de filtrage en bas du formulaire de mappage pour filtrer des alarmes spécifiques ou limiter l’ingestion aux seules alarmes qui répondent à certains critères au niveau du champ. Le filtrage réduit considérablement le nombre d’alarmes que vous ingérez une fois le profil d’alarme activé. Utilisez le filtrage pour ingérer une quantité gérable d’alarmes que votre personnel du centre des opérations de sécurité (SOC) peut prendre en charge.
    Remarque :
    L’exemple suivant montre un paramètre de filtre par défaut dans lequel l’état de l’alarme ne contient pas fermé est le paramètre par défaut. Ce filtre ne déclenche que les alarmes actives, et ce paramètre réduit le nombre d’alarmes extraites. Les étapes suivantes illustrent comment ajouter un autre filtre utile qui inclut uniquement les alarmes avec les valeurs de gravité ou de priorité les plus élevées.

    Procédure

    1. Pour modifier les critères de filtrage, cochez la case Filtre basé sur les conditions .
      Case à cocher Filtre basé sur les conditions sélectionnée et mise en surbrillance.
    2. À droite du champ Conditions de filtre , cliquez sur OU ou ET.
    3. Dans la nouvelle ligne qui s’affiche, sélectionnez les conditions de filtrage dans les listes de choix.

      L’image suivante montre un filtre supplémentaire ajouté aux critères dans lesquels la priorité basée sur le risque (RBP max) est supérieure à 50. Avec ce paramètre de filtre, seules LogRhythm les alarmes dont la valeur de priorité basée sur le risque est supérieure à 50 sont extraites.

      Ajoutez une nouvelle condition de filtre pour ingérer des alarmes dont la priorité basée sur le risque est supérieure à 50.
    4. Une fois que vous avez vérifié que tous les champs d’alarme critiques LogRhythm sont mappés à l’incident de sécurité et que vous avez défini des critères de filtrage pour limiter l’ingestion Now Platform d’alarmes, choisissez-en un pour poursuivre la configuration.
      OptionDescription
      Continuer ou Prévisualiser Le formulaire Aperçu de l’incident de sécurité avec votre configuration de mappage s’affiche.

      L’aperçu est sélectionné dans la barre de progression. L’étape suivante consiste à afficher l’incident de sécurité avec vos alarmes mappées.
      Mettre à jour Enregistrez vos données et retournez à la liste des profils d’alarme .
      Précédent L’enregistrement du profil d’alarme s’affiche.
      Supprimer Supprimez ce profil d’alarme et la liste des profils d’alarme s’affiche.

    Que faire ensuite

    L’étape suivante consiste à prévisualiser vos champs mappés sur l’incident de sécurité. Consultez Aperçu de l’incident de sécurité avec des valeurs d’alarme mappées LogRhythm.