LogRhythm アラームの他のオプション

Yokohama 市セキュリティマネジメント

Release

yokohama

ft:locale

ja-JP

ft:publication_title

Yokohama 市セキュリティマネジメント

ft:clusterId

security

bundleId

security

workflow

Technology

LogRhythm アラームの他のオプション

リリースバージョン: Yokohama

更新日 2025年01月30日

所要時間：4分

LogRhythm Enterprise 統合では、セキュリティインシデントに基づいて LogRhythm アラームを自動的に更新またはクローズする機能が使用できます。

始める前に

必要なロール：sn_si.analyst

このタスクについて

[アラームの初期更新] オプションを有効にすると、LogRhythm コメント内のアラームがアラームの初期更新によって自動的に更新されます。同様に、[アラームクロージャーの更新] オプションを有効にすると、アラームは SIR クローズコードとクローズコメントとともに LogRhythm で自動的にクローズされます。

LogRhythm アラーム ID は、インシデントのライフサイクル全体を通して Now Platform セキュリティインシデント ID に関連付けられます。この相関関係により、セキュリティインシデント/アラームクロージャーの同時の自動発生が許可されます。セキュリティインシデントレスポンス (SIR) セキュリティインシデントレコードがクローズされると、LogRhythm Web コンソールのアラームにコメントが投稿されます。このコメントは、Now Platform セキュリティインシデントのクローズに基づいてアラームがクローズされたことを示しています。インシデント番号と、参照のためにセキュリティインシデントにリンクする URL も、LogRhythm アラームのコメントセクションに含まれています。

手順

進捗状況バーの [他のオプション] ステップをクリックします。

SIR インシデントの作成に自動アラーム更新を使用するには、次のオプションから選択してアラームの取得を設定します。

オプション	説明
SIR インシデントの作成時に LogRhythm アラームを更新する	デフォルトはクリアされています。SIR インシデントが作成されたら LogRhythm アラームを自動的に更新するには、このオプションをオンにします。
最初のコメントが LogRhythm アラームに投稿されました	LogRhythm アラームに対して投稿された最初のコメントを示します。 SIR インシデントフォームの任意のフィールドでフォーマット ${field name}$ を使用して置換変数を追加または変更することで、[コメント] セクションに表示されるデフォルトテキストの編集することができます。例：`The related ServiceNow security incident, ${Number}$ has been created and assigned to ${Assignment group}$. (関連する ServiceNow セキュリティインシデント ${Number}$ が作成され、${Assignment group}$ に割り当てられました。) Additional details can be found on the security incident located here - ${URL}$ (セキュリティインシデントに関する詳細については、${URL}$ に記載されています)`

オプション

説明

SIR インシデントの作成時に LogRhythm アラームを更新する

デフォルトはクリアされています。SIR インシデントが作成されたら LogRhythm アラームを自動的に更新するには、このオプションをオンにします。

最初のコメントが LogRhythm アラームに投稿されました

LogRhythm アラームに対して投稿された最初のコメントを示します。

SIR インシデントフォームの任意のフィールドでフォーマット ${field name}$ を使用して置換変数を追加または変更することで、[コメント] セクションに表示されるデフォルトテキストの編集することができます。

例：The related ServiceNow security incident, ${Number}$ has been created and assigned to ${Assignment group}$. (関連する ServiceNow セキュリティインシデント ${Number}$ が作成され、${Assignment group}$ に割り当てられました。) Additional details can be found on the security incident located here - ${URL}$ (セキュリティインシデントに関する詳細については、${URL}$ に記載されています)

SIR インシデントのクローズに自動アラーム更新を使用するには、次のオプションから選択してアラームの取得を設定します。

オプション	説明
SIR インシデントのクローズ時に LogRhythm アラームをクローズする	デフォルトはクリアされています。SIR インシデントが作成されたら LogRhythm アラームを自動的にクローズするには、このオプションをオンにします。
クローズコメントが LogRhythm アラームに投稿されました	LogRhythm アラームに対して投稿されたクローズコメントを示します。 SIR インシデントフォームの任意のフィールドでフォーマット ${field name}$ を使用して置換変数を追加または変更することで、[コメント] セクションに表示されるデフォルトテキストの編集することができます。例：The related ServiceNow security incident, ${Number}$ has been closed by SOC Analyst-${Closed by}$ with the following closure notes - ${Close notes}$ (関連する ServiceNow セキュリティインシデント ${Number}$ が、SOC アナリスト ${Closed by}$ によってクローズされ、次のクローズメモが付けられました - ${Close notes}$。) Additional details can be found on the security incident located here - ${URL}$ (セキュリティインシデントに関する詳細については、${URL}$ に記載されています)

オプション

説明

SIR インシデントのクローズ時に LogRhythm アラームをクローズする

デフォルトはクリアされています。SIR インシデントが作成されたら LogRhythm アラームを自動的にクローズするには、このオプションをオンにします。

クローズコメントが LogRhythm アラームに投稿されました

LogRhythm アラームに対して投稿されたクローズコメントを示します。

例：The related ServiceNow security incident, ${Number}$ has been closed by SOC Analyst-${Closed by}$ with the following closure notes - ${Close notes}$ (関連する ServiceNow セキュリティインシデント ${Number}$ が、SOC アナリスト ${Closed by}$ によってクローズされ、次のクローズメモが付けられました - ${Close notes}$。) Additional details can be found on the security incident located here - ${URL}$ (セキュリティインシデントに関する詳細については、${URL}$ に記載されています)

[完了] をクリックしてアラームプロファイルを保存します。

セキュリティインシデントにアラームが正常にクローズされたことを示すメモが表示されない場合は、問題の解決方法の詳細について作業メモを確認してください。また、サーバー接続を確認してください。Now Platform セキュリティインシデントがクローズされていること、サーバーがタイムアウトしていないことを確認したら、LogRhythm Web コンソールでアラームを手動でクローズする必要があります。