Vue d'ensemble de LogRhythm

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • La flexibilité de mappage de cette intégration offre à un analyste une visibilité sur les événements et les données d’alarme connexes, qui peuvent être intégrées dans Now Platform les incidents de sécurité à des fins d’enquête et de correction.

    Les profils d’alarme sont créés dans votre Now Platform instance pour personnaliser la façon dont les différents LogRhythm champs d’alarme sont affichés sur un Now Platform incident de sécurité. Un mappage par défaut des champs d’alarme est fourni, qui peut être modifié pour répondre aux besoins spécifiques du client.

    La figure suivante est un exemple d’environnement client. Lorsqu’un événement déclenche la création d’un incident de sécurité dans l’instanceNow Platform®, une demande d’extraction d’alarmes de la LogRhythm console client est envoyée à partir de votre Now Platform® instance, via un MID Server ou même sans celui-ci.

    La clé API REST est utilisée par le pour s’authentifier Now Platform® auprès de la LogRhythm console cliente. Cette connexion permet à votre Now Platform instance d’extraire des alarmes individuelles LogRhythm en fonction des profils configurés.

    La REST API est utilisée pour recueillir les détails du message auxquels la REST API n’accède.

    Figure 1. Intégration LogRhythm
    Un environnement client.

    Fonctionnalités principales

    Cette intégration comprend les fonctionnalités clés suivantes :

    • Flexibilité de création de plusieurs profils d’alarme pour différents types d’alarmes tels que Hameçonnage et Programmes malveillants.
    • Glisser-déposer le mappage des valeurs de champ d’alarme LogRhythm vers les champs d’incident de sécurité associés SIR .
    • Un aperçu de la mise en page de l’incident SIR de sécurité basé sur LogRhythm des échantillons d’alarmes.
    • Ingérez les alarmes historiques, ainsi que les alarmes futures en cours à intervalles configurables.
    • Fermeture automatisée de l’alarme lors de SIR la fermeture de LogRhythm l’incident. Une URL vers l’incident ainsi qu’un ID d’incident sont fournis pour faciliter la SIR référence.

    Versions prises en charge du Now Platform

    Cette intégration est compatible avec la version Quebec ou une version ultérieure du Now Platform®.

    Versions prises en charge de LogRhythm

    Cette intégration est compatible avec la LogRhythm version 7.8 ou ultérieure. Les versions antérieures ne sont pas prises en charge en raison des limitations de l’API.

    Remarque :
    Les sujets suivants sont numérotés. Pour une installation fluide et pour vous aider à vérifier les résultats attendus, suivez les rubriques dans l’ordre dans lequel elles sont présentées.