Alarme für filtern LogRhythm

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Durch das Festlegen von Filterkriterien für Alarme, nachdem Sie Felder zugeordnet haben, können Sie bestimmen, welche Alarme in die SIR-Anwendung aufgenommen werden sollen. Durch das Filtern von Alarmen können Sie die Anzahl der Alarme, die Sie erfassen, erheblich reduzieren, wenn das Alarmprofil aktiviert ist.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Verwenden Sie die Filterbedingungen unten im Zuordnungsformular, um bestimmte Alarme herauszufiltern oder die Erfassung auf Alarme zu beschränken, die bestimmte Kriterien auf Feldebene erfüllen. Durch das Filtern wird die Anzahl der Alarme, die Sie erfassen, erheblich reduziert, sobald das Alarmprofil aktiviert ist. Verwenden Sie die Filterung, um eine verwaltbare Menge von Alarmen zu erfassen, die Ihre Security Operations Center (SOC)-Mitarbeiter unterstützen können.
    Hinweis:
    Das folgende Beispiel zeigt eine Standardfiltereinstellung, in der Alarmstatus-hat-nicht-enthält-geschlossen Ist die Standardeinstellung. Dieser Filter ruft nur aktive Alarme ab, und diese Einstellung reduziert die Anzahl der abgerufenen Alarme. Die folgenden Schritte veranschaulichen, wie Sie einen weiteren nützlichen Filter hinzufügen, der nur Alarme mit den höchsten Schweregrad- oder Prioritätswerten enthält.

    Prozedur

    1. Um die Filterkriterien zu bearbeiten, wählen Sie aus Filtern Sie basierend auf Bedingungen Kontrollkästchen.
      Kontrollkästchen „Filter basierend auf Bedingungen“ aktiviert und hervorgehoben.
    2. Rechts von Filterbedingungen Feld klicken Sie auf ODER Oder UND .
    3. Wählen Sie in der neuen Zeile, die angezeigt wird, die Filterbedingungen aus den Auswahllisten aus.

      Die folgende Abbildung zeigt einen zusätzlichen Filter, der den Kriterien hinzugefügt wurde, in der risikobasierte Priorität ( RBP max ) Ist größer als 50 . Nur mit dieser Filtereinstellung LogRhythm Alarme mit einem risikobasierten Prioritätswert, der größer als 50 ist, werden abgerufen.

      Fügen Sie eine neue Filterbedingung hinzu, um Alarme mit einer risikobasierten Priorität größer als 50 zu erfassen.
    4. Nachdem Sie überprüft haben, dass alle kritisch sind LogRhythm Alarmfelder werden dem zugeordnet ServiceNow AI Platform Security Incident und Sie haben Filterkriterien festgelegt, um die Alarmerfassung zu beschränken. Wählen Sie eines aus, um die Konfiguration fortzusetzen.
      OptionBeschreibung
      Fortfahren oder Vorschau anzeigen Das Vorschauformular des Security Incidents mit Ihrer Zuordnungskonfiguration wird angezeigt.

      Vorschau Ist im Fortschrittsbalken ausgewählt. Der nächste Schritt besteht darin, den Security Incident mit Ihren zugeordneten Alarmen anzuzeigen.
      Aktualisieren Speichern Sie Ihre Daten, und kehren Sie zu zurück Alarmprofile Liste.
      Zurück Der Alarmprofildatensatz wird angezeigt.
      Löschen Löschen Sie dieses Alarmprofil und das Alarmprofile Liste wird angezeigt.

    Nächste Maßnahme

    Der nächste Schritt besteht darin, eine Vorschau Ihrer zugeordneten Felder für den Security Incident anzuzeigen. Weitere Informationen finden Sie unter Vorschau des Security Incidents mit zugeordnet anzeigen LogRhythm Alarmwerte.