LogRhythm アラームフィールドのセキュリティインシデントフィールドへのマッピング

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:7分

    • 個々のアラームフィールドをセキュリティインシデントフィールドにマッピングします。事前設定されたマッピングは編集できます。フィールドに用意されている色分けは、既にマッピングされているアラームを監視するのに役立ちます。このステップは、編集がセキュリティインシデントのフィールドにどのように影響するかを視覚化するのに役立ちます。

    始める前に

    必要なロール:sn_si.admin

    LogRhythm アラームを使い慣れていない場合は、LogRhythm クライアントコンソールに移動して、サンプルアラーム ID を確認してください。次の例では、LogRhythm アラーム「9468」と「9474」を使用して、アラームをセキュリティインシデントにマッピングしています。

    このタスクについて

    このフォームを使用して、左側の LogRhythm アラームルールを右側のセキュリティインシデントフィールドにマッピングします。

    次の図は、各アラームプロファイルに事前設定されたアラームのデフォルトマッピングを示しています。このデフォルトマッピングは編集できます。このフォームを使用して、セキュリティインシデントを設定するフィールドをカスタマイズします。このマッピングを完了すると、アラームフィールドを追加または削除することでセキュリティインシデントのフィールド値にどのように影響するかを確認できます。

    次の図のこのフォームの左側に LogRhythm アラームルールの概要が示されています。これらのアラームルールの値は、フォームの右側のセキュリティインシデントフィールドにマッピングされます。

    手順

    1. LogRhythm のアラームプロファイルを作成した後、進捗状況バーの [マッピング] をクリックします。
    2. [アラームサンプル取り込み] フィールドに、最大 5 つのサンプル LogRhythm アラーム ID をカンマで区切って入力します (9468,9474)。
      タスク:アラームプロファイルをプルするアラームを入力する。
    3. アラームフィールドの横にある [プルアラーム] をクリックします。

      サンプルアラームのプルには少し時間がかかる場合があります。トランザクションが機能していることを示すメッセージが画面の上部に表示されます。

      サンプルアラーム ID が送信され、LogRhythm サーバーから正常にプルされると、アラームフィールドとそれに対応する値がタブに表示されます。
      注:
      アラーム ID が正常にプルされた後、Now Platform は次のメッセージを返す場合があります。「The following new fields will be available for filtering shortly. Please reload this profile in a few minutes if filtering based on these fields is required. itemspacketsin, itemspacketsout」([itemspacketsin]、[itemspacketsout] の新しいフィールドが間もなくフィルタリングに使用できるようになります。これらのフィールドに基づいてフィルタリングする必要がある場合は、数分後にこのプロファイルを再ロードしてください)

      このメッセージは、プルされた単一のアラームに、Now Platform によって以前に処理されたことがないフィールド名が含まれている場合に生成されます。これらのフィールドはマッピングに使用できますが、このメッセージが表示された場合は、フォームを再ロードして、フィルタリング条件を設定する準備ができたときにこれらのフィールドを表示し、条件ビルダーのフィルター選択リストで使用できるようにします。

      これらのサンプルアラームをアラームプロファイル構成に取り込むと、値が含まれていないセキュリティインシデントにアラームフィールドがマッピングされるのを防ぐことができます。また、アラームフィールドをセキュリティインシデントの該当するフィールドに合わせて調整します。この手順により、重要なアラームフィールドがすべてマッピングされ、セキュリティインシデントに欠落しているフィールド値がないことが確認されます。

      マッピングプロセスでアラームが見落とされたり重複したりしないように、アラームフィールドは色分けされています。水色のアラームフィールド (「Account」、「AlarmRuleID」、「AlarmStatus」など) は、セキュリティインシデントへのマッピング用にフィールドがまだ選択されていないことを示しています。

      灰色のフィールド (「AlarmDate」、「AlarmID」、および「AlarmRuleName」) は、フィールドが既に選択され、セキュリティインシデントのフィールドにマッピングされていることを示しています。場合によっては、アラームフィールドがセキュリティインシデントの複数のフィールドにマッピングされる可能性があるため、この色分けはマッピングの追跡に役立ちます。たとえば、「Observables」および「Work Note」のフィールドには複数の値を含めることができます。

    4. サンプルアラームデータをクリアするには、[サンプルアラームデータのクリア] をクリックします。
    5. セキュリティインシデントのデフォルト構成を編集するには、次の手順に従ってフィールドを追加します。
      フィールドを検索、追加、マッピングする方法を示す例。
      1. フォームの右下にあるプラスアイコンをクリックします。
        新しいフィールドが表示されます。
      2. [セキュリティインシデント] 列で、選択リストから利用可能なフィールドを選択します。

        展開された選択リストでは、一部のフィールドが網掛けされています。たとえば、「Category」の背景は灰色で、セキュリティインシデントにマッピングされていることを示しています。LogRhythm アラームフィールドの色分けと同様に、セキュリティインシデントフィールドのこの色分けにより、アラームフィールドの値が誤って同じセキュリティインシデントフィールドにマッピングされることがなくなります。

        上の図では、アラームルール「${Alarm:classificationName}$」は、このプロファイルのセキュリティインシデントの「Category」のフィールドに既にマッピングされています。

        注:
        [観測事象] フィールドは、複数の観測事象を表示できるように、同じセキュリティインシデントの複数のフィールドにマッピングできます。同様に、「Configuration Item」のフィールドと「Work notes」のフィールドは、複数の値を表示するようにマッピングできます。

        フォームの [アラームサンプル取り込み] 側で青色になっている場合は、アラームルールフィールドがマッピングされていないことを示します。灰色の場合は、マッピングされていることを示します。フォームの [SIR インシデントフィールドマッピング] 側の選択リストで白色になっている場合は、フィールドがマッピングされていないことを示します。灰色の場合は、フィールドがマッピングされていることを示します。この色分けを使用することで、フィールドマッピングを追跡できます。

        上の図では、「Affected user」がセキュリティインシデントの新しいフィールドとして選択リストから選択されています。

      3. フォームの左側にある [アラームサンプル取り込み] セクションで左クリックし、[入力式] フィールドに取り込むアラーム ID を選択します。

        上の図では「Login」が選択されています。

      4. クリアされたフィールドにドラッグして放します。
        [SIR インシデントフィールドマッピング] セクションの左側の列に、「Affected User」のフィールドの新しい値が表示されます。この場合、LogRhythm アラームの「Login」値がセキュリティインシデントの「Affected user」のフィールドに表示されます。
    6. または、[入力式] 列のフィールドに手動で値を入力するには、[入力式] フィールドにカーソルを置き、目的のアラーム値を入力します。

      たとえば、上の図では、セキュリティインシデントフォームに別のフィールドが追加され (「Assignment group」)、「セキュリティインシデントアサイン」がフィールドに手動で入力されています。

    7. 必要に応じて、事前設定されたマッピングの編集を続行します。
      LogRhythm アラームフィールドの値をセキュリティインシデントのフィールドでサポートされている値に変換する必要がある場合は、スクリプトエディターを使用できます。「スクリプトエディターを使用した LogRhythm 値のフォーマット」を参照してください。

    次のタスク

    フィールドマッピングが完了したら、次のステップは「LogRhythm のアラームのフィルタリング」です。