LogRhythm Visão geral
A flexibilidade de mapeamento desta integração fornece ao analista visibilidade de eventos e dados de alarme relacionados que podem ser integrados ao Now Platformincidentes de segurança para investigação e correção adicionais.
Os perfis de alarme são criados no Now Platformpara personalizar a diferença LogRhythmos campos de alarme são exibidos em um Now Platformincidente de segurança. Um mapeamento padrão de campos de alarme é fornecido, que pode ser editado para atender às necessidades específicas do cliente.
A figura a seguir é um exemplo de um ambiente do cliente. Quando um evento aciona a criação de um incidente de segurança no Now Platform®uma solicitação é enviada do seu Now Platform®instância para extrair alarmes do LogRhythmConsole do cliente por meio de um MID Server ou mesmo sem ele.
A chave da REST API é usada pelo Now Platform®para autenticar com o. LogRhythmConsole do cliente. Esta conexão permite Now Platforminstância para extrair individual LogRhythmalarmes baseados em perfis configurados.
A REST API é usada para coletar detalhes da mensagem não acessados pela REST API.
Principais recursos
Esta integração inclui os seguintes recursos principais:
- Flexibilidade para criar vários perfis de alarme para diferentes tipos de alarme, como Phishing e. Malware .
- Mapeamento de arrastar e soltar de LogRhythmvalores de campo de alarme para associados SIRcampos de incidente de segurança.
- Uma visualização do SIRlayout do incidente de segurança com base em LogRhythmalarmes de amostra.
- Ingerir alarmes históricos, bem como alarmes futuros em andamento em intervalos configuráveis.
- Automatizado LogRhythmfechamento do alarme em SIRfechamento do incidente. Um URL para SIRO incidente e um ID de incidente são fornecidos para facilitar a referência.
Versões compatíveis do Now Platform
Esta integração é compatível com o Quebec ou versões posteriores do Now Platform®.
Versões compatíveis de LogRhythm
Esta integração é compatível com LogRhythm7,8 ou posterior. As versões anteriores não são compatíveis devido a limitações da API.