Alarmes de filtro para LogRhythm

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Definir critérios de filtragem para alarmes depois de mapear campos ajuda a determinar quais alarmes devem ser ingeridos na aplicação SIR. A filtragem de alarmes ajuda a reduzir significativamente o número de alarmes que você ingerem quando o perfil de alarme é ativado.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Use as condições de filtragem na parte inferior do formulário de mapeamento para filtrar alarmes específicos ou limitar a ingestão a somente alarmes que atendam a determinados critérios de nível de campo. A filtragem reduz significativamente o número de alarmes que você ingere quando o perfil de alarme é ativado. Use a filtragem para ingerir uma quantidade gerenciável de alarmes que sua equipe do Centro de operações de segurança (SOC) pode oferecer suporte.
    Nota:
    O exemplo a seguir mostra uma configuração de filtro padrão na qual Alarme status-does-not-contains-closed é a configuração padrão. Este filtro extrai somente alarmes ativos, e esta configuração reduz o número de alarmes extraídos. As etapas a seguir ilustram como adicionar outro filtro útil que inclui somente alarmes com os valores de gravidade ou prioridade mais altos.

    Procedimento

    1. Para editar os critérios de filtragem, selecione Filtro com base em condições caixa de seleção.
      Caixa de seleção Filtrar com base em condições marcada e realçada.
    2. À direita do Condições de filtro clique em OU ou E. .
    3. Na nova linha exibida, selecione as condições de filtragem nas listas de seleção.

      A imagem a seguir mostra um filtro adicional adicionado aos critérios nos quais a prioridade baseada em risco ( RBP máx ) é maior que 50 . Somente com esta configuração de filtro LogRhythm alarmes com um valor de prioridade baseado em risco maior que 50 são extraídos.

      Adicione uma nova condição de filtro para ingerir alarmes com uma prioridade baseada em risco maior que 50.
    4. Depois de verificar que tudo é crítico LogRhythm os campos de alarme são mapeados para ServiceNow AI Platform incidente de segurança e você definiu critérios de filtragem para limitar a ingestão de alarmes, escolha um para continuar a configuração.
      OpçãoDescrição
      Continuar ou Visualizar O formulário Visualização do incidente de segurança com sua configuração de mapeamento é exibido.

      Visualização está selecionado na barra de andamento. A próxima etapa é exibir o incidente de segurança com seus alarmes mapeados.
      Atualizar Salve seus dados e retorne ao Perfis de alarme lista.
      Anterior O registro do perfil de alarme é exibido.
      Excluir Exclua este perfil de alarme e Perfis de alarme a lista é exibida.

    O que Fazer Depois

    A próxima etapa é visualizar os campos mapeados no incidente de segurança. Consulte Visualizando o incidente de segurança com mapeado LogRhythm valores de alarme.