Criando um perfil de alarme para LogRhythm

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Em um perfil de alarme que você cria e nomeia, especifique quais alarmes deseja extrair do LogRhythmConsole do cliente. Você também define como eles são mapeados para campos em um Now Platformincidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Com base no Perfil de alarme configurado, um perfil de alarme pode ingerir todos os tipos de alarmes prontos para uso, mas você pode usar critérios de filtro para ingerir tipos específicos de alarmes. Usando isso Now Platformtodas as regras de alarme configuradas ou específicas com base no perfil criado são ingeridas. As regras de alarme, como somente alarmes de alto risco, podem ser filtradas para especificar quais alarmes devem criar incidentes de segurança. Antes de os incidentes de segurança serem criados, os valores de campo individuais nos alarmes filtrados são mapeados para os campos correspondentes no Now Platformincidente de segurança. Esta configuração é feita por meio de um perfil de alarme em seu Now Platforminstância.

    Procedimento

    1. Navegar até Tudo > Integração com LogRhythm.
    2. Selecione Perfis de alarme da LogRhythm módulo para exibir o. Perfis de alarme lista.
      Figura 1. Perfil do Alarme
      Crie um perfil de alarme
    3. Para criar um novo perfil de alarme, clique em Novo .
      Um novo formulário de perfil de alarme é exibido. Na parte superior da página, na barra de andamento, Nome está selecionado. Esta barra rastreia seu andamento durante a configuração.
    4. No formulário, preencha os campos.
      Tabela 1. Perfil do Alarme
      Campo Descrição
      Nome Nome do perfil de alarme. Este nome ajuda a identificar os tipos de alarme, como Acesso não autorizado ( VPN ), malware , ou phishing .
      Descrição resumida Texto curto para obter informações adicionais sobre o perfil de alarme, que pode incluir o tipo de alarmes ou uma categoria de alarme. Um exemplo de descrição: Todos os alarmes associados a tentativas de acesso não autorizadas ao PowerShell e ao sudo.
      Origem Servidor de origem da lista de seleção. A lista consiste em LogRhythmconfigurações que você já definiu, por exemplo, logrhythm-server-a. . Consulte Instale o plug-in e configure LogRhythm.
      Ordem

      Prioridade do perfil de alarme. Este campo indica a ordem em que os perfis de alarme são executados quando dois ou mais perfis de alarme compartilham as condições de acionamento.
      Ativo Por padrão, esta opção não está selecionada. Depois de concluir todas as etapas de configuração do perfil de alarme e clique em Concluir , você será solicitado a marcar esta caixa de seleção para ativar o perfil de alarme. Quando o perfil de alarme está ativo, ele extrai alarmes do LogRhythmConsole do cliente automaticamente.
    5. Clique em Continuar Para salvar seus dados e prosseguir para o formulário de mapeamento.

      Se a validação for bem-sucedida, a página recarrega e o. Mapeamento o formulário é exibido. Você não pode prosseguir com a configuração até validar com sucesso sua conexão e credenciais.