Zusätzliche Konfigurationen für LogRhythm Integration
Verwenden Sie LogRhythm Integrationseinstellungen zum Ändern der voreingestellten System- und Problembehandlungseigenschaften gemäß Ihren Anforderungen.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Prozedur
- Navigieren zu Alle > LogRhythm-Integration > LogRhythm-Integrationseinstellungenan.
- Konfigurieren Sie die Systemeigenschaften entsprechend Ihren Anforderungen.
-
Füllen Sie die Felder im Formular aus.
Tabelle : 1. LogRhythm Eigenschaften Des Integrationssystems Feld Beschreibung Dadurch wird der Filter angewendet, bevor die Daten in ServiceNow-Tabellen gespeichert werden. Option, um zu bestimmen, ob Sie den Filter anwenden möchten, bevor die Daten in den ServiceNow-Tabellen gespeichert werden. Standardmäßig ist der Wert auf „Ja“ festgelegt.
Max. Security Incident kann an einem Tag erstellt werden Option zum Definieren der maximalen Anzahl von Security Incidents, die an einem Tag erstellt werden können. Standardmäßig ist der Wert auf 2000 festgelegt.
LogRhythm Die regelmäßige Erfassung kann 1000+ Alarme sein, daher wird Paginierung zum Erfassen der Alarme verwendet. Grenzwert pro Seite zum Abrufen der Anzahl von Alarmen pro Seite. Option zum Definieren der maximalen Anzahl von Alarmen, die auf einer einzelnen Seite abgerufen werden sollen. Standardmäßig ist der Wert auf 100 festgelegt.
Löschen Sie Datensätze der Tabelle „Quelle zu Aufgabe“, die älter als die angegebene Anzahl von Tagen sind. Option zum Löschen von Datensätzen der Quelle-zu-Aufgabe-Tabelle, wenn die angegebene Anzahl von Tagen überschritten wurde. Standardmäßig ist der Wert auf 30 festgelegt.
- Konfigurieren Sie die Fehlerbehebungseigenschaften entsprechend Ihren Anforderungen.
-
Füllen Sie die Felder im Formular aus.
Tabelle : 2. Eigenschaften der LogRhythm-Integration zur Problembehandlung Feld Beschreibung Geplante Erfassung debuggen: Aktiviert Systemprotokolle auf Debug-Ebene für die Erfassung durch eine geplante Aufgabe. Dadurch werden alle Nachrichten/Ausnahmen protokolliert, die von der geplanten Erfassung beim Abrufen von Alarmen/Drilldownlogs/Ereignissen aus generiert werden LogRhythm. Option zum Aktivieren von Systemprotokollen auf Debug-Ebene für die Erfassung durch die geplante Aufgabe. Standardmäßig ist der Wert auf Nein festgelegt
Transformationszuordnung debuggen: Aktiviert Systemprotokolle auf Debug-Ebene für Transformationszuordnung. Dadurch werden alle Nachrichten protokolliert, die von Transformationszuordnungen beim Erstellen eines Security Incidents aus dem Alarmimport generiert werden. Dadurch wurde auch die UI-Aktion in der Alarmimporttabelle aktiviert, um die Transformationszuordnung erneut auszuführen. Option zum Aktivieren von Systemprotokollen auf Debug-Ebene für die Transformationszuordnung. Standardmäßig ist der Wert auf Nein festgelegt
Beispielerfassung in Alarmprofil debuggen: Dies aktiviert Systemprotokolle auf Debug-Ebene für die Beispielerfassung. Dadurch werden alle Nachrichten protokolliert, die während der Erfassung von Beispielen generiert werden. Option zum Aktivieren von Systemprotokollen auf Debug-Ebene für die Beispielerfassung. Standardmäßig ist der Wert auf Nein festgelegt
Debug-Vorschau in Alarmprofil: Aktiviert Systemprotokolle auf Debug-Ebene für die Alarmprofilvorschau. Dadurch werden alle Nachrichten protokolliert, die generiert werden, während die Vorschau für einen Beispielalarm gerendert wird. Option zum Aktivieren von Systemprotokollen auf Debug-Ebene für die Alarmprofilvorschau. Standardmäßig ist der Wert auf Nein festgelegt
Ausgehende REST-Aufrufe debuggen: Durch Aktivieren dieser Eigenschaft wird die Protokollierung auf Debug-Ebene in der Tabelle „Systemprotokolle“ für alle REST-Aufrufe (Anforderung und Antwort) mit oder ohne MID-Server von ermöglicht LogRhythm. Option zum Aktivieren der Protokollierung auf Debug-Ebene in der Tabelle „Systemprotokolle“ für alle REST-Aufrufe, die mit oder ohne MID-Server von ausgeführt werden LogRhythm. Standardmäßig ist der Wert auf Nein festgelegt
- Klicken Sie auf Speichern.