플러그인 설치 및 구성 LogRhythm

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 인스턴스에서 통합을 실행하기 전에 설치 및 구성 단계를 완료하여 애플리케이션이 Security Operations .Now Platform®

    시작하기 전에

    필요한 역할: admin

    설치하기 전에 다음 설정 검사 목록을 완료합니다. 이러한 설정 작업은 원활한 설치 및 구성을 위해 필요합니다. 최신 LogRhythm 버전은 7.8 이상입니다.
    주:
    기존 경보 프로필은 최신 LogRhythm 버전에서 더 이상 지원되지 않으므로 새 경보 프로필을 생성하고 필요한 구성을 수행해야 합니다.
    설정 작업 설명

    필수 Now Platform® 역할과 보안 인시던트 응답(SIR) 역할이 할당되었는지 확인합니다.

    		 다음 역할은 예상 결과의 설치, 구성 및 검증에 필요합니다.
    • 시스템 관리자(admin)는 애플리케이션 플러그인을 설치하고 보안 인시던트 관리자(sn_si.admin) 역할을 할당합니다.
    • (sn_si.admin)은 다음 작업을 감독합니다.
      • 경보 프로파일의 이름을 지정하고, 생성하고, 편집합니다.
      • 경보 매핑 및 필터링 – 보안 인시던트를 생성하는 특정 LogRhythm 경보를 식별하고 이러한 경보 필드를 보안 인시던트에 매핑하는 Now Platform® 방법을 구성합니다.
      • 구성을 완료하기 전에 정확성을 위해 보안 인시던트 상세 정보를 미리 봅니다.
      • 기록 경보 및 일정 끌어온 경보를 수집합니다.
      • 보안 인시던트 분석가(sn_si.analyst) 역할을 할당합니다.
      • 이 역할은 모듈에도 Security Operations 액세스할 수 있습니다.
    • 보안 인시던트 분석가(sn_si.analyst)는 경보 프로필 설정에 따라 생성된 보안 인시던트에 대응합니다.

    API 사용자 이름 및 비밀번호를 확보 LogRhythm 하고 버전 LogRhythm 7.8 이상을 사용 중인지 확인하십시오.

    		 API 키에 대한 정보를 확인하고 계정을 만들려면 제품 웹 사이트를 방문하십시오: LogRhythm Enterprise 웹 사이트. 응용 프로그램을 설치하기 전에 사용자 계정, 자격 증명 및 인증서를 올바르게 구성해야 합니다.

    통합에는 버전 7.8 이상과 LogRhythm REST API가 필요합니다LogRhythm.

    용 REST API 설정 LogRhythm 문서를 참조하십시오.
    MID Server를 설치 및 구성했는지 확인하십시오.

    사용자 Now Platform 환경에는 MID Server가 필요합니다. MID Server 설정 및 구성 방법에 대한 정보는 ServiceNow 제품 설명서 웹 사이트를 참조하십시오.

    통합을 위한 애플리케이션을 설치하기 전에 통합을 지원하는 데 필요한 핵심 애플리케이션이 설치되고 활성화되어 있는지 ServiceNow 확인합니다.

    Rome 릴리스 및 이후 제품군 릴리스의 경우 의존성 플러그인(com.snc.si_dep)이 보안 인시던트 응답 필요합니다. 이 플러그인은 제품을 지원하는 보안 인시던트 응답 데 필요한 모든 의존성을 자동으로 설치합니다. 통합에 필요한 다른 Security Operations 애플리케이션을 설치하고 활성화하기 전에 이 플러그인을 설치하고 활성화합니다.

    다음 Security Operations 애플리케이션이 에서 설치 및 활성화 ServiceNow Store되어 있는지 확인합니다. 설치되지 않은 경우 원활한 설치를 위해 다음 순서대로 한 번에 하나의 애플리케이션을 설치하고 활성화하십시오.

    1. Security Incident Response
    2. 보안 통합 프레임워크
    3. Security Support Common
    4. 보안 지원 오케스트레이션

    통합을 위한 인스턴스 설정에 Now Platform 대한 자세한 내용은 해당 애플리케이션 활성화 ServiceNow Store문서를 참조하십시오제품 또는 애플리케이션에 대한 Security Operations 권리 가져오기.
    중요사항:
    클라이언트 콘솔에 LogRhythm 대한 연결 문제가 있는 경우 를 참조하십시오 에 대한 연결 확인 LogRhythm.

    프로시저

    1. 통합을 위한 애플리케이션을 설치하지 않은 경우 설치 단계를 참조 Security Operations 통합 설치 하고 따르십시오.
    2. 설치가 완료되면 다음으로 이동합니다. 통합 > 통합 구성 을 클릭하고 타일을 LogRhythm 찾습니다.
    3. 구성을 클릭합니다.
      작업: 에 대한 LogRhythm구성 단추를 클릭합니다.
    4. New Configuration(새 구성) 링크를 누릅니다.
      작업: 새 구성 링크를 클릭합니다.
    5. 양식의 필드에 내용을 입력합니다.
      표 1. LogRhythm 구성
      필드 설명
      이름 LogRhythm 서버 이름(예: logrhythm-server-a)입니다.
      기본 URL REST API를 호스팅하는 기본 URL입니다 LogRhythm .

      MID Server는 LogRhythm 클라이언트 콘솔이 호스팅되는 네트워크에 대한 액세스를 허용합니다. 이 URL은 해당 네트워크 내에서 서버가 호스팅되는 위치 LogRhythm 입니다. 오른쪽 끝에 있는 자물쇠 아이콘을 클릭하여 필드를 편집하고 URL에 대한 텍스트(예: https://logrhythm.secops-eng.com:8501/)를 입력합니다.
      API 토큰 클라이언트 콘솔에서 만든 REST API와 LogRhythm 연결된 토큰을 입력합니다.
      온 프레미스 배포 온프레미스 배포인 LogRhythm 경우 선택하는 옵션입니다.
      MID Server 사용자 환경에 설정된 특정 MID Server입니다. 활성 상태이고 검증된 MID Server만 이 선택 목록에서 사용할 수 있습니다.

      다음 그림은 완성된 양식의 예입니다.

      완료된 LogRhythm 구성 양식입니다.
    6. Validate and save(확인 및 저장)를 클릭합니다.
      유효성 검사가 성공적으로 완료되면 메시지가 표시되고 LogRhythm 구성 페이지가 다시 로드됩니다. 다음 단계는 경보 프로필을 만드는 것입니다.

    다음에 수행할 작업

    유효성 검사를 성공적으로 완료한 후 다음 단계는 에 대한 경보 프로파일 생성 LogRhythm입니다.