Installer le module d’extension et configurer LogRhythm

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, effectuez les étapes d’installation et de configuration afin que l’application s’intègre Opérations de sécurité correctement sur le ServiceNow AI Platform®.

    Avant de commencer

    Rôle requis : admin

    Effectuez la liste de vérification de configuration suivante avant l’installation. Ces tâches d’installation sont nécessaires pour une installation et une configuration fluides. La dernière LogRhythm version est 7.8 ou ultérieure.
    Remarque :
    Vos profils d’alarme existants ne seront plus pris en charge sur la dernière LogRhythm version, vous devez donc créer de nouveaux profils d’alarme et effectuer les configurations requises.
    Tâche de configuration Description

    Vérifiez que vous avez affecté les rôles requis ServiceNow AI Platform® et Réponse aux incidents de sécurité (SIR).

    		 Les rôles suivants sont requis pour l’installation, la configuration et la vérification des résultats attendus :
    • L’administrateur système (admin) installe le module d’extension de l’application et affecte le rôle d’administrateur d’incident de sécurité (sn_si.admin).
    • Le (sn_si.admin) supervise les tâches suivantes :
      • Nomme, crée et modifie les profils d’alarme.
      • Mappe et filtre les alarmes : identifie les alarmes spécifiques LogRhythm qui créent des incidents de sécurité et configure la façon dont ces champs d’alarme sont mappés à un ServiceNow AI Platform® incident de sécurité.
      • Prévisualise les détails de l’incident de sécurité pour plus d’exactitude avant de finaliser la configuration.
      • Ingère les alarmes historiques et planifie les alarmes extraites.
      • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
      • Ce rôle a également accès au Opérations de sécurité module.
    • L’analyste des incidents de sécurité (sn_si.analyst) répond aux incidents de sécurité créés en fonction des paramètres du profil d’alarme.

    Obtenez un nom d’utilisateur et un LogRhythm mot de passe d’API et vérifiez que vous utilisez la version LogRhythm 7.8 ou ultérieure.

    		 Visitez le site Web du produit pour plus d’informations sur les clés API et pour créer un compte : site Web de LogRhythm Enterprise. Les comptes d’utilisateurs, les informations d’identification et les certificats doivent être configurés correctement avant l’installation de l’application.

    L’intégration nécessite LogRhythm la version 7.8 ou ultérieure et les LogRhythm API REST.

    Consultez Configurer l’API REST pour LogRhythm.
    Vérifiez que vous avez installé et configuré un Serveur MID.

    Un Serveur MID est requis dans votre ServiceNow AI Platform environnement. Consultez le site Web de la documentation produit ServiceNow pour plus d’informations sur l’installation et la configuration des serveurs MID.

    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant d’installer l’application pour l’intégration.

    Pour la version Rome et les versions de famille ultérieures, le module d’extension Réponse aux incidents de sécurité Dépendance (com.snc.si_dep) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration.

    Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si elle n’est pas installée, installez et activez une application à la fois dans l’ordre suivant pour assurer une installation fluide.

    1. Security Incident Response
    2. Cadre de travail d’intégration de sécurité
    3. Security Support Common
    4. Orchestration du support de sécurité

    Pour en savoir plus sur la configuration de votre ServiceNow AI Platform instance pour l’intégration, consultez Obtenir une autorisation pour un produit ou une Opérations de sécurité application et Activer une ServiceNow Store application.
    Important :
    Si vous rencontrez des problèmes de connectivité à la LogRhythm console client, reportez-vous à la section Vérifier la connectivité pour LogRhythm.

    Procédure

    1. Si vous n’avez pas installé l’application pour l’intégration, consultez Installer une Opérations de sécurité intégration et suivez les étapes d’installation.
    2. Une fois l’installation terminée, accédez à Intégrations > Configurations des intégrations et localisez la LogRhythm tuile.
    3. Cliquez sur Configurer.
      Tâche : cliquez sur le bouton Configurer pour LogRhythm.
    4. Cliquez sur le lien Nouvelle configuration .
      Tâche : cliquez sur le lien Nouvelle configuration.
    5. Renseignez les champs suivants du formulaire :
      Tableau 1. Configuration LogRhythm
      Champ Description
      Nom LogRhythm Nom du serveur, par exemple, logrhythm-server-a.
      URL de base URL de base hébergeant l’API LogRhythm REST.

      Le serveur MID permet d’accéder au réseau où la console cliente LogRhythm est hébergée. Cette URL est l’endroit où le serveur est hébergé au sein de LogRhythm ce réseau. Cliquez sur l’icône de verrou à droite pour modifier le champ et saisissez du texte pour une URL, par exemple, https://logrhythm.secops-eng.com:8501/.
      Jeton d'API Entrez le jeton associé à votre API REST que vous avez créé sur la LogRhythm console client.
      Déploiement sur site Option permettant de sélectionner s’il s’agit d’un LogRhythm déploiement sur site.
      Serveur MID Serveur MID spécifique configuré dans votre environnement. Seuls les MID Servers actifs et validés sont disponibles dans cette liste de choix.

      La figure suivante est un exemple de formulaire rempli.

      Un formulaire de configuration LogRhythm rempli.
    6. Cliquez sur Valider et enregistrer.
      Une fois la validation terminée, un message s’affiche et la LogRhythm page Configurations est rechargée. L’étape suivante consiste à créer un profil d’alarme.

    Que faire ensuite

    Une fois la validation terminée, l’étape suivante consiste à Création d’un profil d’alarme pour LogRhythm.