Filtern Sie Alarme nach LogRhythm

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Durch das Festlegen von Filterkriterien für Alarme nach der Zuordnung von Feldern können Sie bestimmen, welche Alarme in die SIR-Anwendung erfasst werden sollen. Durch das Filtern von Alarmen können Sie die Anzahl der Alarme, die Sie erfassen, wenn das Alarmprofil aktiviert ist, erheblich reduzieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Verwenden Sie die Filterbedingungen am unteren Rand des Zuordnungsformulars, um bestimmte Alarme herauszufiltern oder die Erfassung auf Alarme zu beschränken, die bestimmte Kriterien auf Feldebene erfüllen. Durch das Filtern wird die Anzahl der erfassten Alarme erheblich reduziert, nachdem das Alarmprofil aktiviert wurde. Verwenden Sie die Filterung, um eine überschaubare Menge von Alarmen zu erfassen, die Ihre Mitarbeiter im Security Operations Center (SOC) unterstützen können.
    Hinweis:
    Das folgende Beispiel zeigt eine Standardfiltereinstellung, in der „Alarm status-does-not-Contain-Closed“ die Standardeinstellung ist. Dieser Filter ruft nur aktive Alarme ab, und diese Einstellung reduziert die Anzahl der abgerufenen Alarme. Die folgenden Schritte zeigen, wie Sie einen weiteren nützlichen Filter hinzufügen, der nur Alarme mit den höchsten Schweregrad- oder Prioritätswerten enthält.

    Prozedur

    1. Um die Filterkriterien zu bearbeiten, aktivieren Sie das Kontrollkästchen Basierend auf Bedingungen filtern.
      Checkbox Basierend auf Bedingungen filtern aktiviert und hervorgehoben.
    2. Klicken Sie rechts neben dem Feld Filterbedingungen auf ODER oder UND.
    3. Wählen Sie in der neuen Zeile, die angezeigt wird, die Filterbedingungen aus den Auswahllisten aus.

      Die folgende Abbildung zeigt einen zusätzlichen Filter, der den Kriterien hinzugefügt wurde, bei denen die risikobasierte Priorität (RBP max. ) größer als 50ist. Mit dieser Filtereinstellung werden nur LogRhythm Alarme mit einem risikobasierten Prioritätswert größer als 50 abgerufen.

      Fügen Sie eine neue Filterbedingung hinzu, um Alarme mit einer risikobasierten Priorität von mehr als 50 zu erfassen.
    4. Nachdem Sie sich vergewissert haben, dass alle kritischen LogRhythm Alarmfelder dem Security Incident Now Platform zugeordnet sind, und Filterkriterien festgelegt haben, um die Alarmerfassung zu begrenzen, wählen Sie eines aus, um mit der Konfiguration fortzufahren.
      OptionBeschreibung
      Fortsetzen oder Vorschau Das Vorschauformular des Security Incident mit Ihrer Zuordnungskonfiguration wird angezeigt.

      Vorschau wird auf der Fortschrittsleiste ausgewählt. Der nächste Schritt besteht darin, den Security Incident mit den zugeordneten Alarmen anzuzeigen.
      Aktualisieren Speichern Sie Ihre Daten, und kehren Sie zur Liste der Alarmprofile zurück.
      Zurück Der Alarmprofildatensatz wird angezeigt.
      Löschen Löschen Sie dieses Alarmprofil, und die Liste der Alarmprofile wird angezeigt.

    Nächste Maßnahme

    Der nächste Schritt besteht darin, eine Vorschau der zugeordneten Felder im Security Incident anzuzeigen. Weitere Informationen finden Sie unter Vorschau des Security Incident mit zugeordneten LogRhythm Alarmwerten anzeigen.