Planifier et récupérer LogRhythm des alarmes

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Après avoir prévisualisé l’incident de sécurité avec les LogRhythm alarmes que vous avez sélectionnées et mappées, vous êtes prêt à planifier la récupération de l’alarme. Une fois cette étape terminée, le profil d’alarme est prêt à être activé.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    La planification vous permet de modifier la planification et les types d’alarmes sélectionnées pour la récupération. Vous filtrez les alarmes que vous ingérez en fonction d’une plage de dates ou d’ID d’alarme spécifiques. Cette étape vous permet de déterminer si vous souhaitez ingérer des alarmes historiques et à quelle fréquence vous interrogez les alarmes futures qui correspondent à la configuration du profil d’alarme.

    Procédure

    1. Cliquez sur l’étape Planification dans la barre de progression.
      Planification mise en surbrillance sur la barre de progression.
    2. Choisissez parmi les options suivantes pour configurer votre récupération d’alarme.
      OptionDescription
      Activer la récupération d'alarme de pas Sélectionné par défaut. Sélectionnez cette option pour récupérer les alarmes incrémentielles.
      Intervalle d’interrogation (en minutes)

      L’instance Now Platform extrait de la console client de nouvelles LogRhythm alarmes toutes les minutes. Si des alarmes mappées sont trouvées et que les critères de filtrage correspondent, des incidents de sécurité sont créés.

      Ce paramètre peut être modifié, cependant, le paramètre par défaut équilibre l’ingestion d’alarme par rapport à la charge du serveur et récupère les données les plus récentes.
      Temps d'ingestion de la prochaine alerte (estimation) Affiche la date de la prochaine ingestion planifiée pour le profil d’alarme actuel. Il ne s’agit que d’une estimation.
      Activer la récupération d'alarme historique La valeur par défaut est effacée. Aucune donnée historique n’est extraite.
      Si cette option est sélectionnée, les champs suivants s’affichent. Choisissez-en un pour configurer la récupération par date ou par ID d’alarme.
      Activer la date de début de déclenchement
      La valeur par défaut est effacée. Sélectionnez cette option pour activer la date d’extraction.
      Date de début de déclenchement
      La valeur par défaut est effacée. Sélectionnez cette option pour définir la date de début de l’extraction. Cliquez sur l’icône Calendrier pour entrer une date et une heure. Les alarmes sont déclenchées à partir de la date et de l’heure que vous saisissez jusqu’à la date actuelle.
      Intégrer une alarme spécifique ID d’alarme
      La valeur par défaut est effacée. Sélectionnez cette option pour ingérer des ID d’alarme spécifiques.
      AlarmID(s)
      Saisissez des ID d’alarme spécifiques. Vous extrayez les alarmes spécifiées et vous pouvez saisir plusieurs ID d’alarme séparés par des virgules.
      Remarque :
      Une fois qu’une extraction historique et ponctuelle des alarmes est terminée, cette case est décochée. Vous devrez cocher à nouveau cette case avant d’exécuter une autre extraction ponctuelle d’alarmes historiques.
    3. Pour modifier la récupération d’alarme historique, procédez comme suit pour entrer une date de récupération d’alarme ou un ID d’alarme spécifique.
      1. Sélectionnez Activer la date de début de pull, puis sélectionnez Date de début de pull.
      2. Dans le champ Date de début de tirage , cliquez sur le calendrier qui s’affiche, sélectionnez la date suivie de la coche verte pour enregistrer votre entrée.
        Tâche : sélectionnez la date dans le calendrier et enregistrez-la avec une coche verte.
        La date s’affiche.
      3. Vous pouvez également sélectionner l’option Ingérer un ou des ID d’alarme spécifiques et, dans le champ AlarmID(s), saisir les ID d’alarme spécifiques pour les données historiques afin de récupérer des ID d’alarme spécifiques.

        Vous pouvez saisir jusqu’à cinq alarmes séparées par des virgules.

      4. Cliquez sur Mettre à jour.
    4. Choisissez l’une des options suivantes pour poursuivre la modification ou terminer la configuration.
      OptionDescription
      Mettre à jour Enregistrez vos données et restez sur le formulaire.
      Options supplémentaires (dans la barre de progression) Pour accéder à l’étape Options supplémentaires.
      Précédent Revenir à l’étape de prévisualisation.
      Supprimer Supprimez ce profil d’alarme et la liste des profils d’alarme s’affiche.

    Que faire ensuite

    Une fois que vous avez configuré les détails de l’ingestion d’alarme en cours et de la récupération ponctuelle, l’étape suivante consiste à Options supplémentaires pour LogRhythm les alarmes.