Mapa LogRhythmcampos de alarme para campos de incidente de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Você mapeia campos de alarme individuais para os campos de incidente de segurança. O mapeamento pré-configurado pode ser editado, e a codificação de cores fornecida para os campos ajuda a monitorar os alarmes que você já mapeou. Esta etapa ajuda você a visualizar como suas edições afetam os campos no incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Se você não estiver familiarizado com LogRhythmalarmes, navegue até LogRhythmConsole do cliente e revise alguns IDs de alarme de amostra. Para o exemplo a seguir, LogRhythmalarmes 9468 e. 9474 foram usados para mapear os alarmes para o incidente de segurança.

    Por Que e Quando Desempenhar Esta Tarefa

    Usando este formulário, você mapeia o. LogRhythmregras de alarme à esquerda para os campos de incidente de segurança à direita.

    A figura a seguir mostra o mapeamento padrão de alarmes que é pré-configurado para cada perfil de alarme. Este mapeamento padrão pode ser editado e, com este formulário, você personaliza os campos que preenchem o incidente de segurança. Após concluir este mapeamento, você poderá ver como adicionar ou remover campos de alarme afeta potencialmente os valores de campo no incidente de segurança.

    No lado esquerdo deste formulário, na figura a seguir, o. LogRhythmas regras de alarme são descritas. Os valores dessas regras de alarme são mapeados para os campos de incidente de segurança no lado direito do formulário.

    Procedimento

    1. Depois de criar um perfil de alarme para a LogRhythm, clique em Mapeamento na barra de andamento.
    2. Em Ingestão de amostra de alarme insira até cinco amostras LogRhythmIDs de alarme separados por vírgulas ( 9468,9474 ).
      Tarefa: Insira alarmes para extrair um perfil de alarme.
    3. Ao lado do campo de alarme, clique em Alarmes de extração .

      A extração de alarmes de amostra pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela.

      Depois que os IDs de alarme de amostra são enviados e extraídos com sucesso do LogRhythmo servidor, os campos de alarme e seus valores correspondentes são exibidos em guias.
      Nota:
      Depois que um ID de alarme é extraído com sucesso, o. Now Platformpode retornar a seguinte mensagem: Os novos campos a seguir estarão disponíveis para filtragem em breve. Recarregue este perfil em alguns minutos se a filtragem com base nesses campos for obrigatória. itemspacketsin, itemspacketsout .

      Esta mensagem ocorre quando o alarme único que foi extraído contém nomes de campo não processados anteriormente pelo Now Platform. Esses campos estão disponíveis para mapeamento. No entanto, se esta mensagem for exibida, recarregue o formulário para que esses campos sejam exibidos e fiquem disponíveis nas listas de seleção de filtro do construtor de condições quando você estiver pronto para definir condições de filtragem.

      A ingestão desses alarmes de amostra na configuração do perfil de alarme ajuda a impedir o mapeamento de campos de alarme para o incidente de segurança que não contêm valores. Ele também alinha os campos de alarme com valores aos campos apropriados no incidente de segurança. Esta etapa garante que todos os campos de alarme críticos sejam mapeados e que não haja valores de campo ausentes no incidente de segurança.

      Para ajudar você a garantir que nenhum alarme seja ignorado ou duplicado no processo de mapeamento, os campos de alarme são codificados por cores. Um campo de alarme azul claro ( Conta , ID de regra de alarme , Status do alarme , etc.) indica que um campo ainda não foi selecionado para mapeamento para um incidente de segurança.

      Um campo cinza ( AlarmDate , AlarmId e. AlarmRuleName indica que um campo já foi selecionado e foi mapeado para um campo no incidente de segurança. Essa codificação por cores ajuda a rastrear o mapeamento, porque, em determinados casos, um campo de alarme pode ser mapeado para mais de um campo em um incidente de segurança. Por exemplo, o. Observáveis e. Anotação de trabalho os campos podem ter mais de um valor.

    4. Para limpar os dados de alarme de amostra, clique em Limpar dados de alarme de amostra .
    5. Para editar a configuração padrão no incidente de segurança, siga estas etapas para adicionar um campo:
      O exemplo ilustra como pesquisar e adicionar um campo e mapeá-lo.
      1. No canto inferior direito do formulário, clique no ícone de mais.
        Um novo campo é exibido.
      2. Na coluna Incidente de segurança, selecione um campo disponível na lista de seleção.

        Na lista de seleção expandida, alguns dos campos estão sombreados. Por exemplo, Categoria tem um fundo cinza, o que indica que foi mapeado no incidente de segurança. Semelhante à codificação por cores para LogRhythmcampos de alarme, essa codificação de cores para os campos de incidente de segurança garante que os valores dos campos de alarme não sejam mapeados inadvertidamente para o mesmo campo de incidente de segurança.

        Na ilustração acima, a regra de alarme Alarme:classificationName já está mapeado para Categoria campo no incidente de segurança neste perfil.

        Nota:
        O campo observável pode ser mapeado para mais de campo no mesmo incidente de segurança para que vários observáveis possam ser exibidos. Da mesma forma, o. Item de configuração e. Anotações de trabalho os campos podem ser mapeados para exibir vários valores.

        No lado Ingestão de amostra de alarme do formulário, azul indica que um campo de regra de alarme não foi mapeado. Cinza indica que ele foi mapeado. Na lista de seleção no lado Mapeamento de campo de incidente DE SIR do formulário, branco indica que um campo não foi mapeado. Cinza indica que um campo foi mapeado. Use esta codificação de cores para ajudar você a rastrear seu mapeamento de campo.

        Na ilustração acima, Usuário afetado foi selecionado na lista de seleção como um novo campo no incidente de segurança.

      3. Na seção Ingestão de amostra de alarme no lado esquerdo do formulário, clique com o botão esquerdo do mouse para selecionar o ID de alarme desejado no campo Expressão de entrada.

        Na ilustração acima, Login foi selecionado.

      4. Arraste-o para o campo limpo e solte-o.
        Na coluna esquerda da seção Mapeamento de campo de incidente de SIR, o novo valor para Usuário afetado o campo é exibido. Nesse caso, o. Login valor do LogRhythmo alarme é exibido no Usuário afetado campo no incidente de segurança.
    6. Como alternativa, para inserir manualmente um valor para os campos na coluna Expressão de entrada, coloque o cursor no campo Expressão de entrada e insira um valor de alarme desejado.

      Por exemplo, na ilustração acima, outro campo foi adicionado ( Grupo de atribuição ) para o formulário de incidente de segurança, e. Atribuição de incidente de segurança foi inserido manualmente no campo.

    7. Continue editando o mapeamento pré-configurado conforme necessário.
      Se você precisar traduzir valores de LogRhythmpara valores compatíveis com os campos no incidente de segurança, você pode usar o editor de scripts. Consulte Use o editor de scripts para formatar LogRhythmvalores.

    O que Fazer Depois

    Após concluir o mapeamento de campo, a próxima etapa é Filtrar alarmes para LogRhythm.