Options supplémentaires pour LogRhythm les alarmes
L’intégration LogRhythm d’entreprise vous permet de mettre à jour ou de fermer automatiquement les LogRhythm alarmes en fonction des incidents de sécurité.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Lorsque vous activez l’option Mises à jour initiales de l’alarme, les alarmes sont automatiquement mises à jour dans les commentaires LogRhythm avec les mises à jour initiales de l’alarme. De même, lorsque vous activez l’option Mises à jour de fermeture d’alarme, les alarmes sont automatiquement fermées dans LogRhythm avec le code de fermeture SIR et les commentaires de fermeture.
L’ID LogRhythm d’alarme est connecté à l’ID Now Platform d’incident de sécurité tout au long du cycle de vie de l’incident. Cette corrélation permet la fermeture simultanée et automatisée d’un incident de sécurité/d’une alarme. Lorsque l’enregistrement d’incident Réponse aux incidents de sécurité de sécurité (SIR) est fermé, un commentaire est publié dans l’alarme sur la LogRhythm console Web. Ce commentaire indique que l’alarme a été fermée sur la base de la fermeture de l’incident Now Platform de sécurité. Le numéro d’incident et une URL qui renvoie vers l’incident de sécurité pour référence sont également inclus dans la section des commentaires de l’alarme LogRhythm .
Procédure
- Cliquez sur l’étape Options supplémentaires dans la barre de progression.
-
Pour utiliser la mise à jour automatisée de l’alarme pour la création d’incidents SIR, choisissez parmi les options suivantes pour configurer votre récupération d’alarme.
Option Description Mettre à jour les alarmes LogRhythm lors de la création de l'incident SIR La valeur par défaut est effacée. Sélectionnez cette option pour mettre à jour automatiquement les LogRhythm alarmes lorsque l’incident SIR est créé. Commentaires initiaux envoyés à l'alarme LogRhythm Indique les commentaires initiaux publiés pour l’alarme LogRhythm .
Modifiez le texte par défaut qui s’affiche dans la section des commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident SIR.
Par exemple, l’incident de sécurité ServiceNow connexe, ${Number}$ a été créé et affecté à ${Assignment group}$. Des détails supplémentaires sur l’incident de sécurité sont disponibles ici : ${URL}$.
-
Pour utiliser la mise à jour automatisée de l’alarme pour la clôture de l’incident SIR, choisissez parmi les options suivantes pour configurer votre récupération d’alarme.
Option Description Fermer les alarmes LogRhythm lors de la fermeture de l'incident SIR La valeur par défaut est effacée. Sélectionnez cette option pour fermer automatiquement les LogRhythm alarmes lorsque l’incident SIR est fermé. Commentaires de fermeture envoyés à l'alarme LogRhythm Indique les commentaires de fermeture publiés pour l’alarme LogRhythm .
Modifiez le texte par défaut qui s’affiche dans la section des commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident SIR.
Par exemple, l’incident de sécurité ServiceNow connexe, ${Number}$, a été fermé par SOC Analyst-${Closed by}$ avec les notes de fermeture suivantes : ${Close notes}$. Des détails supplémentaires sur l’incident de sécurité sont disponibles ici : ${URL}$.
- Cliquez sur Terminer pour enregistrer le profil d’alarme.