Ordnen Sie LogRhythm Alarmfelder Security Incident-Feldern zu

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Sie ordnen einzelne Alarmfelder den Security Incident-Feldern zu. Die vorkonfigurierte Zuordnung kann bearbeitet werden, und die für die Felder bereitgestellte Farbcodierung hilft Ihnen, bereits zugeordnete Alarme zu überwachen. Mit diesem Schritt können Sie visualisieren, wie sich Ihre Änderungen auf die Felder im Security Incident auswirken.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Wenn Sie mit den LogRhythm -Alarmen nicht vertraut sind, navigieren Sie zur Client-Konsole LogRhythm, und sehen Sie sich einige Beispiele für Alarm-IDs an. Im folgenden Beispiel LogRhythm wurden die Alarme 9468 und 9474 verwendet, um die Alarme dem Security Incident zuzuordnen.

    Warum und wann dieser Vorgang ausgeführt wird

    Mit diesem Formular ordnen Sie die Alarmregeln LogRhythm auf der linken Seite den Feldern für Security Incidents auf der rechten Seite zu.

    Die folgende Abbildung zeigt die Standardzuordnung von Alarmen, die für jedes Alarmprofil vorkonfiguriert ist. Diese Standardzuordnung kann bearbeitet werden, und mit diesem Formular passen Sie die Felder an, die den Security Incident ausfüllen. Nachdem Sie diese Zuordnung abgeschlossen haben, können Sie sehen, wie sich das Hinzufügen oder Entfernen von Alarmfeldern potenziell auf die Feldwerte im Security Incident auswirkt.

    Auf der linken Seite dieses Formulars sind in der folgenden Abbildung die Alarmregeln LogRhythm dargestellt. Die Werte dieser Alarmregeln werden den Security Incident-Feldern auf der rechten Seite des Formulars zugeordnet.

    Prozedur

    1. Nachdem Sie ein Alarmprofil für LogRhythm erstellt haben, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    2. Geben Sie im Feld Erfassung des Alarmbeispiels bis zu fünf Beispielalarm-IDs LogRhythm durch Kommas getrennt (9468,9474) ein.
      Aufgabe: Geben Sie Alarme ein, die für ein Alarmprofil abgerufen werden sollen.
    3. Klicken Sie neben dem Alarmfeld auf Alarme abrufen.

      Das Abrufen von Beispielalarmen kann einige Minuten dauern. Oben auf dem Bildschirm wird eine Meldung angezeigt, dass die Transaktion funktioniert.

      Nachdem die Beispielalarm-IDs übermittelt und erfolgreich vom Server LogRhythm abgerufen wurden, werden die Alarmfelder und die entsprechenden Werte auf Registerkarten angezeigt.
      Hinweis:
      Nachdem eine Alarm-ID erfolgreich abgerufen wurde, gibt Now Platform möglicherweise die folgende Nachricht zurück: Die folgenden neuen Felder stehen in Kürze für die Filterung zur Verfügung. Laden Sie dieses Profil in einigen Minuten neu, wenn eine Filterung basierend auf diesen Feldern erforderlich ist. Itemspacketsin, Itemspacketsout.

      Diese Nachricht wird angezeigt, wenn der einzelne abgerufene Alarm Feldnamen enthält, die zuvor nicht von Now Platformverarbeitet wurden. Diese Felder sind für die Zuordnung verfügbar. Wenn jedoch diese Nachricht angezeigt wird, laden Sie das Formular neu, damit diese Felder angezeigt und in den Filterauswahllisten des Bedingungsgenerators verfügbar sind, wenn Sie bereit sind, Filterbedingungen festzulegen.

      Durch das Erfassen dieser Beispielalarme in der Alarmprofilkonfiguration können Sie verhindern, dass dem Security Incident Alarmfelder zugeordnet werden, die keine Werte enthalten. Außerdem werden Alarmfelder mit Werten an den entsprechenden Feldern im Security Incident ausgerichtet. Dieser Schritt stellt sicher, dass alle kritischen Alarmfelder zugeordnet sind und dass keine Feldwerte im Security Incident fehlen.

      Alarmfelder sind farbcodiert, um sicherzustellen, dass im Zuordnungsprozess keine Alarme übersehen oder dupliziert werden. Ein transparentes Alarmfeld (Account, AlarmRuleID, AlarmStatususw.) zeigt an, dass das Feld noch nicht für die Zuordnung zu einem Security Incident ausgewählt wurde.

      Ein grau Feld (AlarmDate, AlarmIDund AlarmRuleName) zeigt an, dass bereits ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen, da in bestimmten Fällen ein Alarmfeld mehreren Feldern in einem Security Incident zugeordnet werden kann. Beispielsweise können die Felder Erkennbare Elemente und Arbeitsnotiz mehr als einen Wert haben.

    4. Klicken Sie auf Beispielalarmdaten löschen, um die Beispielalarmdaten zu löschen.
    5. Führen Sie die folgenden Schritte aus, um die Standardkonfiguration für den Security Incident zu bearbeiten und ein Feld hinzuzufügen:
      Das Beispiel veranschaulicht, wie ein Feld gesucht, hinzugefügt und zugeordnet wird.
      1. Klicken Sie unten rechts im Formular auf das Plus-Symbol.
        Ein neues Feld wird angezeigt.
      2. Wählen Sie in der Spalte Security Incident ein verfügbares Feld aus der Auswahlliste aus.

        In der erweiterten Auswahlliste sind einige der Felder schattiert. Beispiel: Die Kategorie hat einen grauen Hintergrund, was darauf hinweist, dass sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Alarmfelder LogRhythm stellt diese Farbcodierung für die Security Incident-Felder sicher, dass Werte aus den Alarmfeldern nicht versehentlich demselben Security Incident-Feld zugeordnet werden.

        In der Abbildung oben ist die Alarmregel ${Alarm:classificationName}$ bereits dem Feld Kategorie im Security Incident in diesem Profil zugeordnet.

        Hinweis:
        Das Feld „Erkennbares Element“ kann mehr als dem Feld im selben Security Incident zugeordnet werden, sodass mehrere erkennbare Elemente angezeigt werden können. Ebenso können die Felder Konfigurationselement und Arbeitsnotizen so zugeordnet werden, dass mehrere Werte angezeigt werden.

        Auf der Seite „Alarmbeispielerfassung“ des Formulars zeigt Blau an, dass ein Alarmregelfeld nicht zugeordnet wurde. Grau zeigt an, dass zugeordnet wurde. Weiß zeigt in der Auswahlliste auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars an, dass kein Feld zugeordnet wurde. Grau zeigt an, dass ein Feld zugeordnet wurde. Verwenden Sie diese Farbcodierung, um Ihre Feldzuordnung nachzuverfolgen.

        In der obigen Abbildung wurde Betroffener Benutzer aus der Auswahlliste als neues Feld im Security Incident ausgewählt.

      3. Klicken Sie im Abschnitt Erfassung des Alarmbeispiels auf der linken Seite des Formulars mit der linken Maustaste, um die gewünschte Alarm-ID im Feld Eingabeausdruck auszuwählen.

        In der obigen Abbildung wurde Anmeldung ausgewählt.

      4. Ziehen Sie es in das gelöschte Feld, und lassen Sie es los.
        In der linken Spalte im Abschnitt „SIR-Incident-Feldzuordnung“ wird der neue Wert für das Feld Betroffener Benutzer angezeigt. In diesem Fall wird der Anmeldungswert aus dem Alarm LogRhythm im Feld „Betroffener Benutzer“ im Security Incident angezeigt.
    6. Um manuell einen Wert für Felder in der Spalte „Eingabeausdruck“ einzugeben, platzieren Sie alternativ den Cursor im Feld „Eingabeausdruck“, und geben Sie den gewünschten Alarmwert ein.

      Beispiel: In der obigen Abbildung wurde dem Security Incident-Formular ein weiteres Feld hinzugefügt (Zuweisungsgruppe), und in diesem Feld wurde manuell die Zuweisung des Security Incident eingegeben.

    7. Bearbeiten Sie die vorkonfigurierte Zuordnung nach Bedarf weiter.
      Wenn Sie Werte aus Alarmfeldern LogRhythm in Werte übersetzen müssen, die von den -Feldern im Security Incident unterstützt werden, können Sie den Skript-Editor verwenden. Weitere Informationen finden Sie unter Verwenden Sie den Skript-Editor zum Formatieren von LogRhythm -Werten.

    Nächste Maßnahme

    Nachdem Sie die Feldzuordnung abgeschlossen haben, gehen Sie als Nächstes zu Filtern Sie Alarme nach LogRhythm.