Opções adicionais para LogRhythmalarmes

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura
  • . LogRhythmA integração empresarial fornece a capacidade de atualizar ou fechar automaticamente o. LogRhythmalarmes baseados nos incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_si.analista

    Por Que e Quando Desempenhar Esta Tarefa

    Quando você habilita a opção Atualizações iniciais do alarme, os alarmes são atualizados automaticamente nos comentários da LogRhythm com as atualizações iniciais do alarme. Da mesma forma, quando você habilita a opção Atualizações de fechamento de alarme, os alarmes são fechados automaticamente no LogRhythm junto com o Código de fechamento de SIR e comentários de fechamento.

    . LogRhythmO ID do alarme está conectado ao Now PlatformID do incidente de segurança durante todo o ciclo de vida do incidente. Essa correlação permite que ocorra um fechamento simultâneo e automatizado de incidente/alarme de segurança. Quando o. Resposta a incidentes de segurança( SIR) o registro de incidente de segurança está encerrado, há um comentário publicado no alarme no LogRhythmconsole da web. Este comentário indica que o alarme foi encerrado com base no fechamento do Now Platformincidente de segurança. O número do incidente e um URL que se vincula ao incidente de segurança para referência também estão incluídos na seção de comentários no LogRhythmalarme.

    Procedimento

    1. Clique em Opções adicionais etapa na barra de andamento.
    2. Para usar a atualização automatizada de alarme para a criação de incidente de SIR, escolha uma das seguintes opções para configurar a recuperação de alarme.
      OpçãoDescrição
      Atualizar alarmes da LogRhythm após a criação de incidente de SIR O padrão é limpo. Selecione esta opção para atualizar automaticamente o. LogRhythmAlarmes quando o incidente SIR é criado.
      Comentários iniciais retornados para o alarme da LogRhythm

      Indica os comentários iniciais que são publicados para LogRhythmalarme.

      Edite o texto padrão exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato⁠"nome do campo" para qualquer campo no formulário de incidente SIR.

      Por exemplo, O incidente de segurança ServiceNow relacionado, valor (número) foi criado e atribuído a custo (grupo de atribuição). Detalhes adicionais podem ser encontrados sobre o incidente de segurança localizado aqui - URL .

    3. Para usar a atualização automatizada de alarme para fechamento de incidente SIR, escolha uma das seguintes opções para configurar a recuperação do alarme.
      OpçãoDescrição
      Fechar alarmes da LogRhythm após o fechamento do incidente de SIR O padrão é limpo. Selecione esta opção para fechar automaticamente o. LogRhythmAlarmes quando o incidente de SIR é encerrado.
      Comentários de fechamento retornados para o alarme da LogRhythm

      Indica os comentários de fechamento publicados para LogRhythmalarme.

      Edite o texto padrão exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato⁠"nome do campo" para qualquer campo no formulário de incidente SIR.

      Por exemplo, O incidente de segurança ServiceNow relacionado, foi encerrado pelo analista de SOC com as seguintes anotações de fechamento - USD. Detalhes adicionais podem ser encontrados sobre o incidente de segurança localizado aqui - URL .

    4. Clique em Concluir para salvar o perfil de alarme.
    Se você não vir anotações indicando que o alarme foi encerrado com sucesso no incidente de segurança, revise as anotações de trabalho para obter mais informações sobre como proceder para corrigir o problema. Além disso, verifique sua conexão com o servidor. Se você confirmar Now Platformo incidente de segurança foi encerrado e o servidor não atingiu o tempo limite. talvez seja necessário fechar manualmente o alarme no LogRhythmConsole da web.