Programar e recuperar LogRhythm alarmes

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Depois de visualizar o incidente de segurança com os LogRhythm alarmes que você selecionou e mapeou, você está pronto para programar a recuperação do alarme. Depois de concluir esta etapa, o perfil do alarme estará pronto para ser ativado.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    A programação permite que você modifique a programação e os tipos de alarmes selecionados para recuperação. Você filtra os alarmes que ingere com base em um intervalo de datas ou em IDs de alarme específicos. Com esta etapa, você determina se deseja ingerir alarmes históricos e com que frequência pesquisa alarmes futuros que correspondam à configuração do perfil de alarme.

    Procedimento

    1. Clique na etapa Programação na barra de andamento.
      Programação realçada na barra de andamento.
    2. Escolha uma das seguintes opções para configurar a recuperação do alarme.
      OpçãoDescrição
      Habilitar recuperação de alarme incremental O padrão é selecionado. Selecione esta opção para recuperar alarmes incrementais.
      Intervalo de pesquisa (em minutos)

      A instância Now Platform extrai do Console do cliente LogRhythm novos alarmes a cada minuto. Se alarmes mapeados forem encontrados e os critérios de filtragem forem correspondidos, os incidentes de segurança serão criados.

      Esta configuração pode ser alterada, no entanto, a configuração padrão balanceia a ingestão de alarmes em relação à carga do servidor e recupera os dados mais atuais.
      Próximo período de ingestão de alarmes (estimado) Exibe quando a próxima ingestão programada ocorreria para o perfil de alarme atual. Este é apenas um tempo estimado.
      Habilitar recuperação de alarme histórico O padrão é limpo. Nenhum dado histórico foi extraído.
      Se selecionado, os seguintes campos serão exibidos. Escolha um para configurar a recuperação por data ou ID de alarme.
      Habilitar data de início da extração
      O padrão é limpo. Selecione esta opção para habilitar a extração de data.
      Data de início da extração
      O padrão é limpo. Selecione esta opção para definir a data de início da extração. Clique no ícone de calendário para inserir uma data e hora. Os alarmes são extraídos a partir da data e hora que você insere até a data atual.
      Ingerir ID(s) de alarme específico(s)
      O padrão é limpo. Selecione esta opção para ingerir IDs de alarme específicos.
      ID(s) de Alarme(s)
      Insira IDs de alarme específicos. Você extrai os alarmes especificados e pode inserir vários IDs de alarme separados por vírgulas.
      Nota:
      Depois que uma extração única histórica de alarmes é concluída, esta caixa de seleção é desmarcada. Você precisará marcar esta caixa de seleção novamente antes de executar outra extração única de alarmes históricos.
    3. Para editar a recuperação do alarme histórico, siga estas etapas para inserir uma data para a recuperação do alarme ou um ID de alarme específico.
      1. Selecione Habilitar datade início da extração e selecione Data de início da extração.
      2. No campo Data de início da extração, clique no calendário exibido, selecione a data seguida da marca de seleção verde para salvar sua entrada.
        Tarefa: selecione a data no calendário e salve-a com a marca de seleção verde.
        A data é exibida.
      3. Como alternativa, selecione a opção Ingerir IDs de alarme específicos e, no campo AlarmID(s), insira os IDs de alarme específicos dos dados históricos para recuperar IDs de alarme específicos.

        Você pode inserir até cinco alarmes separados por vírgulas.

      4. Clique em Atualizar.
    4. Escolha uma das seguintes opções para continuar editando ou concluir a configuração.
      OpçãoDescrição
      Atualizar Salve seus dados e permaneça no formulário.
      Opções adicionais (na barra de andamento) Para ir para a etapa Opções adicionais.
      Anterior Retorne à etapa de Exibição.
      Excluir Exclua este perfil de alarme e a lista de perfis de alarme será exibida.

    O que Fazer Depois

    Depois de configurar os detalhes de Ingestão de alarmes contínuos e Recuperação única, a próxima etapa é Opções adicionais para LogRhythm alarmes.