Erstellen eines Alarmprofils für LogRhythm

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • In einem Alarmprofil, das Sie erstellen und benennen, geben Sie an, welche Alarme Sie aus abrufen möchten LogRhythm Client-Konsole. Sie definieren auch, wie sie Feldern in einem zugeordnet werden ServiceNow AI Platform Security Incident.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Basierend auf dem konfigurierten Alarmprofil kann ein Alarmprofil alle Arten von Alarmen sofort erfassen, Sie können jedoch Filterkriterien verwenden, um bestimmte Arten von Alarmen zu erfassen. Wird verwendet ServiceNow AI Platform Integration werden alle konfigurierten Alarmregeln oder bestimmte basierend auf dem erstellten Profil erfasst. Alarmregeln wie nur Alarme mit hohem Risiko können dann gefiltert werden, um anzugeben, welche Alarme Security Incidents erstellen sollen. Bevor Security Incidents erstellt werden, werden einzelne Feldwerte in den gefilterten Alarmen den entsprechenden Feldern in zugeordnet ServiceNow AI Platform Security Incident. Diese Konfiguration erfolgt über ein Alarmprofil in Ihrem ServiceNow AI Platform Instanz.

    Prozedur

    1. Navigieren zu Alle > LogRhythm-Integrationan.
    2. Wählen Sie aus LogRhythm-Alarmprofile Modul zum Anzeigen von Alarmprofile Liste.
      Abbildung : 1. Alarmprofil
      Erstellen Sie ein Alarmprofil
    3. Klicken Sie auf, um ein neues Alarmprofil zu erstellen Neu .
      Ein neues Alarmprofilformular wird angezeigt. Oben auf der Seite in der Fortschrittsleiste Name Ist ausgewählt. Diese Leiste verfolgt Ihren Fortschritt während der Konfiguration.
    4. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. Alarmprofil
      Feld Beschreibung
      Name Name für das Alarmprofil. Dieser Name hilft Ihnen, die Alarmtypen zu identifizieren, z. B. Nicht autorisierter Zugriff ( VPN ), Malware , Oder Phishing .
      Kurzbeschreibung Kurztext für zusätzliche Informationen zum Alarmprofil, das den Typ der Alarme oder eine Alarmkategorie enthalten kann. Eine Beispielbeschreibung: Alle Alarme, die nicht autorisierten Powershell- und Sudo-Zugriffsversuchen zugeordnet sind.
      Quelle Quellserver aus der Auswahlliste. Die Liste besteht aus LogRhythm Konfigurationen, die Sie bereits eingerichtet haben, z. B. logrhythm-Server-A . Weitere Informationen finden Sie unter Installieren Sie das Plugin, und konfigurieren Sie LogRhythm.
      Reihenfolge

      Alarmprofilpriorität. Dieses Feld gibt die Reihenfolge an, in der die Alarmprofile ausgeführt werden, wenn mindestens zwei Alarmprofile die auslösenden Bedingungen gemeinsam haben.
      Aktiv Standardmäßig ist diese Option nicht ausgewählt. Nachdem Sie alle Schritte zur Einrichtung des Alarmprofils abgeschlossen haben, und klicken Sie auf Beenden , Sie werden aufgefordert, dieses Kontrollkästchen zu aktivieren, um das Alarmprofil zu aktivieren. Wenn das Alarmprofil aktiv ist, werden Alarme aus dem abgerufen LogRhythm Clientkonsole automatisch.
    5. Klicken Sie Auf Fahren Sie Fort Um Ihre Daten zu speichern und mit dem Zuordnungsformular fortzufahren.

      Wenn die Validierung erfolgreich ist, werden die Seite und neu geladen Zuordnung Formular wird angezeigt. Sie können mit der Konfiguration erst fortfahren, wenn Sie Ihre Verbindung und Ihre Anmeldeinformationen erfolgreich validiert haben.