LogRhythm の概要
この統合のマッピングの柔軟性により、アナリストはイベントと関連アラームデータを確認し、Now Platform セキュリティインシデントに統合してさらに調査および修正することができます。
アラームプロファイルが Now Platform インスタンスに作成され、Now Platform セキュリティインシデントでのさまざまな LogRhythm アラームフィールドの表示方法をカスタマイズできます。提供されているアラームフィールドのデフォルトマッピングは、顧客固有のニーズに合わせて編集できます。
次の図は顧客の環境の例です。イベントが Now Platform® インスタンスでのセキュリティインシデントの作成をトリガーすると、MID サーバーを介して、またはそれなしで LogRhythm クライアントコンソールからアラームをプルする要求が Now Platform® インスタンスから送信されます。
REST API キーは、LogRhythm クライアントコンソールでの Now Platform® による認証に使用されます。この接続により、Now Platform インスタンスは設定されたプロファイルに基づいて個々の LogRhythm アラームをプルできます。
REST API は、REST API によってアクセスされないメッセージの詳細を収集するために使用されます。
主な機能
この統合の主な機能は次のとおりです。
- フィッシングやマルウェアなど、さまざまなアラームタイプに対して複数のアラームプロファイルを作成できる柔軟性
- 関連付けられている SIR セキュリティインシデントフィールドへの LogRhythm アラームフィールド値のドラッグアンドドロップによるマッピング
- LogRhythm のサンプルアラームに基づく SIR セキュリティインシデントのレイアウトのプレビュー
- 履歴アラームと、構成可能な間隔で進行中の将来のアラームの取り込み
- SIR インシデントクローズ時の LogRhythm の自動アラームクロージャー。簡単に参照できるように、SIR インシデントへの URL とインシデント ID が表示されます。
Now Platform のサポートされているリリース
この統合は、Now Platform® の Quebec 以降のリリースと互換性があります。
LogRhythm のサポートされているバージョン
この統合は、LogRhythm 7.8 以降と互換性があります。以前のバージョンは、API の制限によりサポートされていません。
注:
次のトピックには番号が付けられています。スムーズにインストールし、想定通りの結果が得られるように、記載されている順序でトピックに従ってください。