Mapa LogRhythm campos de alarme para campos de incidente de segurança

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • Campos de alarme individuais são mapeados para os campos de incidente de segurança. O mapeamento pré-configurado pode ser editado, e a codificação de cores fornecida para os campos ajuda a monitorar os alarmes que você já mapeou. Esta etapa ajuda a visualizar como suas edições afetam os campos no incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Se você não estiver familiarizado com LogRhythm alarmes, navegue até LogRhythm Console do cliente e revise alguns IDs de alarme de amostra. Para o exemplo a seguir, LogRhythm alarmes 9468 e. 9474 foram usados para mapear os alarmes para o incidente de segurança.

    Por Que e Quando Desempenhar Esta Tarefa

    Usando este formulário, você mapeia o. LogRhythm regras de alarme à esquerda para os campos de incidente de segurança à direita.

    A figura a seguir mostra o mapeamento padrão de alarmes que é pré-configurado para cada perfil de alarme. Este mapeamento padrão pode ser editado e, com este formulário, você pode personalizar os campos que preenchem o incidente de segurança. Depois de concluir este mapeamento, você poderá ver como adicionar ou remover campos de alarme afeta potencialmente os valores de campo no incidente de segurança.

    No lado esquerdo deste formulário, na figura a seguir, o. LogRhythm as regras de alarme são descritas. Os valores dessas regras de alarme são mapeados para os campos de incidente de segurança no lado direito do formulário.

    Procedimento

    1. Depois de criar um perfil de alarme para a LogRhythm, clique em Mapeamento na barra de andamento.
    2. Em Ingestão de amostra de alarme , insira até cinco amostras LogRhythm IDs de alarme separados por vírgulas ( 9468,9474 ).
      Tarefa: Insira alarmes para extrair um perfil de alarme.
    3. Ao lado do campo de alarme, clique em Extrair alarmes .

      A extração de alarmes de amostra pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela.

      Depois que os IDs de alarme de amostra são enviados e extraídos com sucesso do LogRhythm servidor, os campos de alarme e seus valores correspondentes são exibidos em guias.
      Nota:
      Depois que um ID de alarme é extraído com sucesso, o. ServiceNow AI Platform pode retornar a seguinte mensagem: Os novos campos a seguir estarão disponíveis para filtragem em breve. Recarregue este perfil em alguns minutos se a filtragem com base nesses campos for necessária. itemspacketssout, itemspacketout .

      Esta mensagem ocorre quando o alarme único que foi extraído contém nomes de campo não processados anteriormente pelo ServiceNow AI Platform. Esses campos estão disponíveis para mapeamento. No entanto, se esta mensagem for exibida, recarregue o formulário para que esses campos sejam exibidos e disponíveis nas listas de seleção de filtro do construtor de condições quando você estiver pronto para definir condições de filtragem.

      Ingerir esses alarmes de amostra na configuração do perfil de alarme ajuda a impedir o mapeamento de campos de alarme para o incidente de segurança que não contêm valores. Também alinha os campos de alarme com valores aos campos apropriados no incidente de segurança. Esta etapa garante que todos os campos de alarme críticos sejam mapeados e que não haja valores de campo ausentes no incidente de segurança.

      Para ajudar você a garantir que nenhum alarme seja ignorado ou duplicado no processo de mapeamento, os campos de alarme são codificados por cores. Um campo de alarme azul claro ( Conta , ID de regra do alarme , AlarmStatus , etc.) indica que um campo ainda não foi selecionado para mapeamento para um incidente de segurança.

      Um campo cinza ( AlarmDate , AlarmID e AlarmRuleName ) indica que um campo já foi selecionado e foi mapeado para um campo no incidente de segurança. Essa codificação por cores ajuda a rastrear o mapeamento, porque, em determinados casos, um campo de alarme pode ser mapeado para mais de um campo em um incidente de segurança. Por exemplo, o. Observáveis e. Anotação de trabalho os campos podem ter mais de um valor.

    4. Para limpar os dados de alarme de amostra, clique em Limpar dados de alarme de amostra .
    5. Para editar a configuração padrão no incidente de segurança, siga estas etapas para adicionar um campo:
      O exemplo ilustra como pesquisar e adicionar um campo e mapeá-lo.
      1. No canto inferior direito do formulário, clique no ícone de adição.
        Um novo campo é exibido.
      2. Na coluna Incidente de segurança, selecione um campo disponível na lista de seleção.

        Na lista de seleção expandida, alguns dos campos estão sombreados. Por exemplo, Categoria tem um fundo cinza, o que indica que ele foi mapeado no incidente de segurança. Semelhante à codificação por cores para LogRhythm campos de alarme, essa codificação de cores para os campos de incidente de segurança garante que os valores dos campos de alarme não sejam mapeados inadvertidamente para o mesmo campo de incidente de segurança.

        Na ilustração acima, a regra de alarme Alarme: ClassificationName já está mapeado para Categoria incidente de segurança neste perfil.

        Nota:
        O campo observável pode ser mapeado para mais de campo no mesmo incidente de segurança para que vários observáveis possam ser exibidos. Da mesma forma, o Item de configuração e. Anotações de trabalho os campos podem ser mapeados para exibir vários valores.

        No lado Ingestão de amostra de alarme do formulário, azul indica que um campo de regra de alarme não foi mapeado. Cinza indica que ele foi mapeado. Na lista de seleção no lado Mapeamento de campo de incidente SIR do formulário, branco indica que um campo não foi mapeado. Cinza indica que um campo foi mapeado. Use esta codificação por cores para ajudar você a rastrear seu mapeamento de campo.

        Na ilustração acima, Usuário afetado foi selecionado na lista de seleção como um novo campo no incidente de segurança.

      3. Na seção Ingestão de amostra de alarme no lado esquerdo do formulário, clique com o botão esquerdo do mouse para selecionar o ID de alarme desejado no campo Expressão de entrada.

        Na ilustração acima, Login selecionado.

      4. Arraste-o para o campo Limpado e solte-o.
        Na coluna esquerda da seção Mapeamento de campo de incidente SIR, o novo valor para Usuário afetado o campo é exibido. Nesse caso, o Login valor do LogRhythm o alarme é exibido no Usuário afetado campo no incidente de segurança.
    6. Como alternativa, para inserir manualmente um valor para os campos na coluna Expressão de entrada, coloque o cursor no campo Expressão de entrada e insira um valor de alarme desejado.

      Por exemplo, na ilustração acima, outro campo foi adicionado ( Grupo de atribuição ) para o formulário de incidente de segurança, e. Atribuição de incidente de segurança inserido manualmente no campo.

    7. Continue editando o mapeamento pré-configurado conforme necessário.
      Se você precisar traduzir valores de LogRhythm campos de alarme para valores compatíveis com os campos no incidente de segurança, você pode usar o editor de scripts. Consulte Use o editor de scripts para formatar LogRhythm valores.

    O que Fazer Depois

    Depois de concluir o mapeamento de campo, a próxima etapa é Alarmes de filtro para LogRhythm.