Filtrer les alarmes pour LogRhythm

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Définir des critères de filtrage pour les alarmes une fois que vous avez mappé les champs vous aide à déterminer quelles alarmes doivent être ingérées dans l’application SIR. Le filtrage des alarmes vous aide à réduire considérablement le nombre d’alarmes que vous ingérez lorsque le profil d’alarme est activé.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Utilisez les conditions de filtrage en bas du formulaire de mappage pour filtrer des alarmes spécifiques ou limiter l’ingestion aux alarmes qui répondent à certains critères de niveau de champ. Le filtrage réduit considérablement le nombre d’alarmes que vous ingérez une fois que le profil d’alarme est activé. Utilisez le filtrage pour ingérer une quantité gérable d’alarmes que le personnel de votre centre des opérations de sécurité (SOC) peut prendre en charge.
    Remarque :
    L’exemple suivant montre un paramètre de filtre par défaut dans lequel Alarm status-does-not-contain-Closed est le paramètre par défaut. Ce filtre extrait uniquement les alarmes actives, et ce paramètre réduit le nombre d’alarmes déclenchées. Les étapes suivantes illustrent comment ajouter un autre filtre utile qui inclut uniquement les alarmes avec les valeurs de gravité ou de priorité les plus élevées.

    Procédure

    1. Pour modifier les critères de filtrage, cochez la case Filtre basé sur les conditions .
      Case à cocher Filtre basé sur les conditions sélectionnée et mise en surbrillance.
    2. À droite du champ Conditions de filtre, cliquez sur OR ou ET.
    3. Dans la nouvelle ligne qui s’affiche, sélectionnez les conditions de filtrage dans les listes de choix.

      L’image suivante montre un filtre supplémentaire ajouté aux critères dans lesquels la priorité basée sur le risque (RBP max) est supérieure à 50. Avec ce paramètre de filtre, seules LogRhythm les alarmes dont la valeur de priorité basée sur le risque est supérieure à 50 sont déclenchées.

      Ajoutez une nouvelle condition de filtre pour ingérer des alarmes dont la priorité basée sur le risque est supérieure à 50.
    4. Après avoir vérifié que tous les champs d’alarme critiques LogRhythm sont mappés à l’incident de sécurité et avoir défini des critères de filtrage pour limiter l’ingestion Now Platform d’alarmes, choisissez-en un pour poursuivre la configuration.
      OptionDescription
      Continuer ou prévisualiser Le formulaire d’aperçu de l’incident de sécurité avec votre configuration de mappage s’affiche.

      L’aperçu est sélectionné dans la barre de progression. L’étape suivante consiste à afficher l’incident de sécurité avec vos alarmes mappées.
      Mettre à jour Enregistrez vos données et revenez à la liste Profils d’alarme .
      Précédent L’enregistrement du profil d’alarme s’affiche.
      Supprimer Supprimez ce profil d’alarme et la liste des profils d’alarme s’affiche.

    Que faire ensuite

    L’étape suivante consiste à prévisualiser vos champs mappés sur l’incident de sécurité. Consultez Affichage de l’aperçu de l’incident de sécurité avec les valeurs d’alarme mappées LogRhythm.