Opções adicionais para LogRhythm alarmes

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • A integração LogRhythm Enterprise oferece a capacidade de atualizar ou fechar automaticamente os alarmes LogRhythm com base nos incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Quando você habilita a opção Atualizações iniciais do alarme, os alarmes são atualizados automaticamente nos comentários do LogRhythm com as atualizações do alarme inicial. Da mesma forma, quando você habilita a opção Atualizações de fechamento de alarme, os alarmes são fechados automaticamente no LogRhythm junto com o Código de fechamento SIR e os comentários de fechamento.

    O LogRhythm ID do alarme está conectado ao Now Platform ID do incidente de segurança durante todo o curso do ciclo de vida do incidente. Essa correlação permite que ocorra um fechamento simultâneo e automatizado de incidente/alarme de segurança. Quando o registro de incidente de segurança Security Incident Response (SIR) é fechado, há um comentário publicado no alarme no console da web LogRhythm. Este comentário indica que o alarme foi encerrado com base no fechamento do Now Platform incidente de segurança. O número do incidente e um URL que vincula de volta ao incidente de segurança para referência também estão incluídos na seção de comentários no alarme LogRhythm.

    Procedimento

    1. Clique na etapa Opções adicionais na barra de andamento.
    2. Para usar a atualização automatizada de alarmes para a criação de incidentes de SIR, escolha uma das seguintes opções para configurar a recuperação do alarme.
      OpçãoDescrição
      Atualizar alarmes da LogRhythm após a criação de incidente de SIR O padrão é limpo. Selecione esta opção para atualizar automaticamente os alarmes LogRhythm quando o incidente de SIR for criado.
      Comentários iniciais retornados para o alarme da LogRhythm

      Indica os comentários iniciais que são publicados para o alarme LogRhythm.

      Edite o texto padrão que é exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente SIR.

      Por exemplo, O incidente de segurança da ServiceNow relacionado, ${Number}$, foi criado e atribuído a ${Grupo de atribuição}$. Detalhes adicionais podem ser encontrados sobre o incidente de segurança localizado aqui - ${URL}$.
    3. Para usar a atualização automatizada de alarme para o fechamento do incidente SIR, escolha uma das seguintes opções para configurar a recuperação do alarme.
      OpçãoDescrição
      Fechar alarmes da LogRhythm após o fechamento do incidente de SIR O padrão é limpo. Selecione esta opção para fechar automaticamente os alarmes LogRhythm quando o incidente SIR for fechado.
      Comentários de fechamento retornados para o alarme da LogRhythm

      Indica os comentários de fechamento publicados para o alarme LogRhythm.

      Edite o texto padrão que é exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente SIR.

      Por exemplo, O incidente de segurança relacionado à ServiceNow, ${Number}$, foi encerrado pelo analista do SOC-${Closed by}$ com as seguintes notas de fechamento: ${Closed by}$. Detalhes adicionais podem ser encontrados sobre o incidente de segurança localizado aqui - ${URL}$.
    4. Clique em Concluir para salvar o perfil do alarme.
    Se você não vir anotações indicando que o alarme foi encerrado com sucesso no incidente de segurança, revise as anotações de trabalho para obter mais informações sobre como prosseguir para corrigir o problema. Além disso, verifique a conexão do servidor. Se você confirmar que o Now Platform incidente de segurança foi encerrado e o servidor não expirou, talvez seja necessário fechar manualmente o alarme no LogRhythm Console da web.