Filtrar alarmes para LogRhythm

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Definir critérios de filtragem para alarmes depois de mapear campos ajuda a determinar quais alarmes devem ser ingeridos na aplicação SIR. A filtragem de alarmes ajuda a reduzir significativamente o número de alarmes que você ingere quando o perfil de alarme está ativado.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Use as condições de filtragem na parte inferior do formulário de mapeamento para filtrar alarmes específicos ou limitar a ingestão somente para alarmes que atendam a determinados critérios no nível de campo. A filtragem reduz significativamente o número de alarmes que você ingere quando o perfil do alarme é ativado. Use a filtragem para ingerir uma quantidade gerenciável de alarmes que a equipe do Centro de operações de segurança (SOC) pode suportar.
    Nota:
    O exemplo a seguir mostra uma configuração de filtro padrão na qual o status do alarme-não-contém-fechado é a configuração padrão. Este filtro extrai somente alarmes ativos e essa configuração reduz o número de alarmes extraídos. As etapas a seguir ilustram como adicionar outro filtro útil que inclui somente alarmes com os valores de severidade ou prioridade mais altos.

    Procedimento

    1. Para editar os critérios de filtragem, marque a caixa de seleção Filtrar com base nas condições.
      Caixa de seleção Filtrar com base nas condições marcada e realçada.
    2. À direita do campo Condições do filtro, clique em OU ou E.
    3. Na nova linha exibida, selecione as condições de filtragem nas listas de seleção.

      A imagem a seguir mostra um filtro adicional adicionado aos critérios nos quais a prioridade baseada em risco (RBP máx) é maior que 50. Com esta configuração de filtro, somente LogRhythm alarmes com um valor de prioridade baseado em risco maior que 50 são extraídos.

      Adicione uma nova condição de filtro para ingerir alarmes com uma prioridade baseada em risco maior que 50.
    4. Depois de verificar que todos os campos de alarme críticos LogRhythm estão mapeados para o incidente de segurança Now Platform e definir critérios de filtragem para limitar a ingestão de alarmes, escolha um para continuar a configuração.
      OpçãoDescrição
      Continuar ou Visualizar O formulário Visualizar do incidente de segurança com sua configuração de mapeamento é exibido.

      Avisualização está selecionada na barra de andamento. A próxima etapa é exibir o incidente de segurança com seus alarmes mapeados.
      Atualizar Salve seus dados e retorne à lista de perfis de alarme.
      Anterior O registro do perfil do alarme é exibido.
      Excluir Exclua este perfil de alarme e a lista Perfis de alarme será exibida.

    O que Fazer Depois

    A próxima etapa é visualizar os campos mapeados no incidente de segurança. Consulte Visualização do incidente de segurança com valores de alarme LogRhythm mapeados.