Filtern Sie Alarme nach LogRhythm

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Indem Sie Filterkriterien für Alarme festlegen, nachdem Sie Felder zugeordnet haben, können Sie bestimmen, welche Alarme in der Anwendung SIR erfasst werden sollen. Durch das Filtern von Alarmen können Sie die Anzahl der erfassten Alarme erheblich reduzieren, wenn das Alarmprofil aktiviert ist.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Verwenden Sie die Filterbedingungen unten im Zuordnungsformular, um bestimmte Alarme herauszufiltern oder die Erfassung auf Alarme zu beschränken, die bestimmte Kriterien auf Feldebene erfüllen. Durch das Filtern wird die Anzahl der erfassten Alarme erheblich reduziert, sobald das Alarmprofil aktiviert ist. Verwenden Sie Filter, um eine verwaltbare Menge von Alarmen zu erfassen, die Ihre Mitarbeiter des Security Operations Center (SOC) unterstützen können.
    Hinweis:
    Das folgende Beispiel zeigt eine Standardfiltereinstellung, in der Alarmstatus-does-not-contain-Closed die Standardeinstellung ist. Dieser Filter ruft nur aktive Alarme ab, und diese Einstellung reduziert die Anzahl der abgerufenen Alarme. Die folgenden Schritte veranschaulichen, wie Sie einen weiteren nützlichen Filter hinzufügen, der nur Alarme mit den höchsten Schweregrad- oder Prioritätswerten enthält.

    Prozedur

    1. Um die Filterkriterien zu bearbeiten, aktivieren Sie das Kontrollkästchen Basierend auf Bedingungen filtern.
      Das Kontrollkästchen „Basierend auf Bedingungen filtern“ ist aktiviert und hervorgehoben.
    2. Klicken Sie rechts neben dem Feld Filterbedingungenauf ODER oder auf UND.
    3. Wählen Sie in der neuen Zeile, die angezeigt wird, die Filterbedingungen aus den Auswahllisten aus.

      Die folgende Abbildung zeigt einen zusätzlichen Filter, der den Kriterien hinzugefügt wird, bei denen die risikobasierte Priorität (RPP max.) größer als 50ist. Mit dieser Filtereinstellung werden nur LogRhythm -Alarme mit einem risikobasierten Prioritätswert größer als 50 abgerufen.

      Fügen Sie eine neue Filterbedingung hinzu, um Alarme mit einer risikobasierten Priorität größer als 50 zu erfassen.
    4. Nachdem Sie verifiziert haben, dass alle kritischen LogRhythm -Alarmfelder dem Security Incident Now Platform zugeordnet sind, und Sie Filterkriterien zur Begrenzung der Alarmerfassung festgelegt haben, wählen Sie eines aus, um die Konfiguration fortzusetzen.
      OptionBeschreibung
      Fortfahren oder Vorschau Das Vorschauformular des Security Incident mit Ihrer Zuordnungskonfiguration wird angezeigt.

      Vorschau ist auf dem Fortschrittsbalken ausgewählt. Der nächste Schritt besteht darin, den Security Incident mit den zugeordneten Alarmen anzuzeigen.
      Aktualisieren Speichern Sie Ihre Daten, und kehren Sie zur Liste der Alarmprofile zurück.
      Zurück Der Alarmprofil-Datensatz wird angezeigt.
      Löschen Löschen Sie dieses Alarmprofil, und die Liste der Alarmprofile wird angezeigt.

    Nächste Maßnahme

    Der nächste Schritt besteht darin, eine Vorschau der zugeordneten Felder im Security Incident anzuzeigen. Weitere Informationen finden Sie unter Vorschau des Security Incident mit zugeordneten LogRhythm Alarmwerten wird angezeigt.