プラグインのインストールおよび LogRhythm の構成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • インスタンスで統合を実行する前に、インストールと構成の手順を完了して、アプリケーションが Now Platform®セキュリティオペレーション と適切に統合されるようにします。

    始める前に

    必要なロール:admin

    インストールの前に、次のセットアップチェックリストを完了します。これらのセットアップタスクは、インストールと構成をスムーズに行うために必要です。最新の LogRhythm バージョンは 7.8 以降です。
    注:
    既存のアラームプロファイルは最新の LogRhythm バージョンではサポートされなくなるため、新しいアラームプロファイルを作成して必要な構成を実行する必要があります。
    セットアップタスク 説明

    必要な Now Platform® およびセキュリティインシデントレスポンス (SIR) のロールがアサインされていることを確認します。

    		 インストール、構成、および予想される結果の検証には、次のロールが必要です。
    • システムアドミニストレーター (admin) は、アプリケーションプラグインをインストールし、セキュリティインシデントアドミン (sn_si.admin) ロールをアサインします。
    • (sn_si.admin) は、次のタスクを監督します。
      • アラームプロファイルに名前を付け、作成し、編集します。
      • アラームのマッピングとフィルタリング:セキュリティインシデントを作成する特定の LogRhythm アラームを識別し、これらのアラームフィールドを Now Platform® セキュリティインシデントにマッピングする方法を設定します。
      • 構成を確定する前に、正確性を確認するためにセキュリティインシデントの詳細をプレビューします。
      • 履歴アラームを取り込み、プルされたアラームをスケジュールします。
      • セキュリティインシデントアナリスト (sn_si.analyst) ロールをアサインします。
      • このロールは セキュリティオペレーション モジュールにもアクセスできます。
    • セキュリティインシデントアナリスト (sn_si.analyst) は、アラームプロファイル設定に基づいて作成されたセキュリティインシデントに対応します。

    LogRhythm API のユーザー名とパスワードを取得し、バージョン LogRhythm 7.8 以降を使用していることを確認します。

    		 API キーの詳細やアカウントの作成方法については、LogRhythm Enterprise の Web サイトを参照してください。アプリケーションをインストールする前に、ユーザーアカウント、認証情報、および証明書を適切に設定する必要があります。

    統合には、LogRhythm バージョン 7.8 以降と LogRhythm REST API が必要です。

    LogRhythm の REST API の設定」を参照してください。
    MID サーバーがインストールおよび設定されていることを確認します。

    Now Platform 環境には MID サーバーが必要です。MID サーバーの設定方法および構成方法については、ServiceNow 製品ドキュメント Web サイトを参照してください。

    統合用のアプリケーションをインストールする前に、統合をサポートするために必要な ServiceNow コアアプリケーションがインストールされ、アクティブ化されていることを確認します。

    Rome リリース以降のファミリリリースでは、セキュリティインシデントレスポンス Dependency プラグイン (com.snc.si_dep) が必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。統合に必要な他の セキュリティオペレーション アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

    次の セキュリティオペレーション アプリケーションが、ServiceNow Store からインストールされ、アクティブ化されていることを確認します。インストールされていない場合は、スムーズにインストールできるように、次の順序で一度に 1 つずつアプリケーションをインストールしてアクティブ化します。

    1. セキュリティインシデントレスポンス
    2. Security Integration Framework
    3. Security Support Common
    4. セキュリティサポートオーケストレーション

    統合のための Now Platform インスタンスのセットアップの詳細については、「セキュリティオペレーション 製品またはアプリケーションのエンタイトルメントの取得」および「ServiceNow Store アプリケーションのアクティブ化」を参照してください。
    重要:
    LogRhythm クライアントコンソールへの接続に問題がある場合は、「LogRhythm の接続性の確認」を参照してください。

    手順

    1. 統合用のアプリケーションをインストールしていない場合は、「セキュリティオペレーション 統合のインストール」を参照し、手順に従ってインストールしてください。
    2. インストールが完了したら、次に移動します: 統合 > 統合構成 をクリックし、 LogRhythm タイルを見つけます。
    3. [構成] をクリックします。
      タスク:LogRhythm の [構成] ボタンをクリックする。
    4. [新規構成] リンクをクリックします。
      タスク:[新規構成] リンクをクリックする。
    5. フォームのフィールドに入力します。
      表 : 1. LogRhythm 構成
      フィールド 説明
      名前 LogRhythm サーバー名 (例:logrhythm-server-a)
      ベース URL LogRhythm REST API をホストするベース URL。

      MID サーバーは、LogRhythm クライアントコンソールがホストされているネットワークへのアクセスを許可します。この URL は、そのネットワーク内で LogRhythm サーバーがホストされている場所です。右端のロックアイコンをクリックしてフィールドを編集し、URL のテキストを入力します (例:https://logrhythm.secops-eng.com:8501/)。
      API トークン LogRhythm クライアントコンソールで作成した REST API に関連付けられているトークンを入力します。
      オンプレミス展開 LogRhythm オンプレミス展開の場合に選択するオプション。
      MID サーバー 環境に設定されている MID サーバーを指定します。この選択リストからはアクティブで検証済みの MID サーバーのみを使用できます。

      次の図は、完成したフォームの例です。

      入力済みの [LogRhythm 構成] フォーム。
    6. [検証して保存] をクリックします。
      検証が正常に完了すると、メッセージが表示され、[LogRhythm 構成] ページが再ロードされます。次のステップでは、アラームプロファイルを作成します。

    次のタスク

    検証が正常に完了したら、次のステップは「LogRhythm のアラームプロファイルの作成」です。