Mapeamento LogRhythmalarmes para o incidente de segurança
Depois de selecionar LogRhythmorigem que você deseja ingerir, você precisa mapear o indivíduo LogRhythmcampos de alarme para Now Platformcampos de incidente de segurança.
O mapeamento de alarmes inclui as seguintes tarefas:
- Mapa LogRhythmalarmes. Para esta tarefa, você lista e ingira (extrai) alarmes de amostra usando os IDs de alarme ou os alarmes mais recentes do LogRhythmconsole do cliente.
- Os campos Alarme de amostra são categorizados em três grupos:
- Campos de alarme : Os campos de alarme que estão disponíveis e seus valores correspondentes são exibidos.
- Campos de evento : Os campos de evento que estão disponíveis e seus valores correspondentes são exibidos.
- DrillDownlog : Os campos de log de detalhamento que estão disponíveis e seus valores correspondentes são exibidos.
- Cada ID de alarme que você puxou é exibido como uma guia. Nas guias ID do alarme, verifique se todos os campos de alarme críticos do Ingestão de amostra de alarme a seção à esquerda do formulário é mapeada para Mapeamento de campo de incidente de SIR à direita do formulário.
- Depois de mapear os alarmes para Mapeamento de campo de incidente de SIR , você pode ver a categoria de alarme que também está sendo exibida no Expressão de entrada campo. Por exemplo, Alarme: Alarmid .
- Você pode modificar a configuração adicionando ou removendo campos no incidente de segurança. Rastreie campos ignorados ou duplicados com a codificação de cores fornecida.
- Você pode filtrar alarmes para especificar quais alarmes são ingeridos na aplicação SIR. Você pode filtrar os alarmes diretamente ou usar as categorias de alarme para detalhar sua pesquisa com base em Alarmes, Eventos ou DrillDownLogs.
- Use o editor de scripts se quiser formatar valores para os campos Prioridade e Categoria no incidente de segurança.
A próxima etapa é Mapa LogRhythmcampos de alarme para campos de incidente de segurança.