Vorschau des Security Incident mit zugeordneten LogRhythm Alarmwerten anzeigen
Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie den Feldern im Security Incident zugeordnet haben. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle kritischen LogRhythm Alarmfelder zugeordnet haben, die im Security Incident angezeigt werden sollen.
Erforderliche Rolle: sn_si.admin.
Sicherheitsvorfall
Wenn die Security Incident-Vorschau nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Vorschau.
Ein Beispiel für die Vorschau für den gesamten Security Incident Now Platform ist in den folgenden beiden Abbildungen dargestellt. Dieses Beispiel der Vorschau des Security Incident wird mit den LogRhythm Alarmfeldern ausgefüllt, die aus dem Beispielalarm 13663 zugeordnet wurden.
In der folgenden Abbildung sind die Felder Konfigurationselement, Betroffener Benutzer, Priorität, Zuweisungsgruppeund Kurzbeschreibung des Security Incident ausgefüllt.
In der unteren Hälfte des Security Incident-Formulars wird das Feld Beschreibung ausgefüllt. Im Abschnitt Zugehörige Elemente werden die Felder Konfigurationselement, ErkennbaresElement und Arbeitsnotiz mit Werten ausgefüllt. Wenn mehrere Werte für diese Felder zugeordnet werden, wird jeder Wert im Security Incident angezeigt, da jedes dieser Felder mehr als einen Wert akzeptieren kann.
Fehlerbedingungen in der Vorschau
Die folgenden Warnmeldungen werden möglicherweise angezeigt, wenn Sie eine Vorschau des Security Incident anzeigen. Wenn ein Beispielalarm die Filterkriterien nicht erfüllt, wird der gesamte Security Incident nicht ausgefüllt.
Eingabewert nicht gefunden
Wenn die Alarm-ID in den Filterbedingungen enthalten ist, wird möglicherweise weiterhin eine Warnmeldung angezeigt, wenn für bestimmte zugeordnete Felder keine bestimmten Eingabewerte gefunden werden. Im folgenden Beispiel wird in der Vorschau des Datensatzes davon ausgegangen, dass das Feld Zugewiesen an keinen Wert enthält, obwohl es zugeordnet wurde.
Überprüfen Sie für diesen Nachrichtentyp im Zuordnungsdatensatz, ob der Eingabewert korrekt ist. In diesem Fall ist die Person im Feld Zugewiesen an im Security Incident in der Instanz Now Platform falsch. Wenn dieser Alarm erfasst wird und einen Security Incident mit dieser Bedingung erstellt, werden Felder mit diesem Eingabewert (Abel Tuter) im Security Incident leer gelassen.
Die verbleibenden blauen Nachrichten dienen der Information und weisen darauf hin, dass diese Felder keinen Wert haben, der in der Vorschau angezeigt werden kann. Mit dieser Vorschau kann der Security Incident-Administrator, der das Alarmprofil konfiguriert, überprüfen, ob diese Felder in der ersten Erstellungsphase keinen Wert haben sollten, da in bestimmten Fällen Security Incident-Felder später automatisch ausgefüllt werden können. Andere Zuordnungsfehler werden ebenfalls angezeigt.
Wenn Sie mit der Zuordnung und der Security Incident-Vorschau zufrieden sind, wählen Sie eine aus, um mit der Konfiguration fortzufahren.
| Option | Beschreibung |
|---|---|
| Klicken Sie in der Fortschrittsleiste auf Fortsetzen oder Zeitplanung. | Fahren Sie mit dem Formular „Zeitplanung und Alarmabruf“ fort. Zeitplanung und Alarmabruf auf der Fortschrittsleiste ausgewählt ist. Der nächste Schritt besteht in der Planung des Alarmabrufs. |
| Klicken Sie auf Zurück. | Kehren Sie zum Alarmprofil zurück, und setzen Sie die Zuordnung fort. |
| Geben Sie eine andere Alarm-ID in die Auswahlliste Beispielalarm -ID oben im Vorschauformular ein. | Die Auswahlliste Beispielalarm-ID wird für jede von Ihnen eingegebene Alarm-ID angezeigt. Sie können bis zu fünf Alarme auswählen. Mit dieser Option können Sie eine Vorschau einer weiteren LogRhythm Alarm-ID für einen Security Incident anzeigen. |
Nachdem Sie eine Vorschau des Security Incident angezeigt haben und mit den Ergebnissen zufrieden sind, führen Sie den nächsten Schritt zu LogRhythm Alarme planen und abrufen.