Mapeamento de LogRhythm alarmes para o incidente de segurança
Depois de selecionar a origem LogRhythm que você deseja ingerir, você precisa mapear campos de alarme LogRhythm individuais para os campos de incidente de segurança Now Platform.
O mapeamento de alarmes inclui as seguintes tarefas:
- Mapear LogRhythm alarmes. Para esta tarefa, você lista e ingere (Pull) alarmes de amostra usando os IDs de alarme ou os alarmes mais recentes do console do cliente LogRhythm.
- Os campos de alarme de amostra são categorizados em três grupos:
- Campos dealarme: os campos de alarme que estão disponíveis e seus valores correspondentes são exibidos.
- Campos de evento: os campos de evento que estão disponíveis e seus valores correspondentes são exibidos.
- Campos de Detalhamentode log: os campos de log de detalhamento que estão disponíveis e os valores correspondentes são exibidos.
- Cada ID de alarme que você extraiu é exibido como uma guia. Nas guias ID do alarme, verifique se todos os campos de alarme críticos da seção Ingestão de amostra de alarme à esquerda do formulário estão mapeados para a seção Mapeamento de campo de incidente SIR à direita do formulário.
- Depois de mapear os alarmes para o campo Mapeamento de campo de incidente SIR, você pode ver a categoria de alarme também sendo exibida no campo Expressão de entrada. Por exemplo, ${Alarm: alarmid}$.
- Você pode modificar a configuração adicionando ou removendo campos no incidente de segurança. Rastreie campos ignorados ou duplicados com a codificação de cores fornecida.
- Você pode filtrar alarmes para especificar quais alarmes são ingeridos na aplicação SIR. Você pode filtrar os alarmes diretamente ou usar as categorias de alarme para detalhar sua pesquisa com base em Alarmes, Eventos ou DetalhamentoDeLogs.
- Use o editor de script se quiser formatar valores para os campos Prioridade e Categoria no incidente de segurança.
A próxima etapa é Mapear LogRhythm campos de alarme para campos de incidente de segurança.