LogRhythm のアラームのフィルタリング

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • フィールドをマッピングした後にアラームのフィルタリング基準を設定すると、SIR アプリケーションに取り込む必要があるアラームを決定するのに役立ちます。アラームをフィルタリングすると、アラームプロファイルがアクティブになったときに取り込むアラームの数を大幅に減らすことができます。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    マッピングフォームの下部にあるフィルタリング条件を使用して、特定のアラームを除外したり、特定のフィールドレベルの基準を満たすアラームのみに取り込みを制限したりします。フィルタリングすると、アラームプロファイルがアクティブになったときに取り込むアラームの数を大幅に減らすことができます。フィルタリングを使用して、Security Operations Center (SOC) のスタッフが対応できる管理可能な量のアラームを取り込みます。
    注:
    次の例は、「Alarm status-does-not-contain-Closed」がデフォルト設定であるデフォルトのフィルター設定を示しています。このフィルターはアクティブなアラームのみをプルし、この設定により、プルされるアラームの数が減少します。次の手順は、重大度または優先度の値が最も高いアラームのみを含む、別の便利なフィルターを追加する方法を示しています。

    手順

    1. フィルタリング基準を編集するには、[条件に基づいてフィルター] チェックボックスをオンにします。
      [条件に基づいてフィルター] チェックボックスがオンになり、ハイライト表示されている。
    2. [フィルター条件] フィールドの右側の [OR] または [AND] をクリックします。
    3. 表示される新しい行で、選択リストからフィルタリング条件を選択します。

      次の画像は、リスクベースの優先度 (RBP max) が 50 より大きい基準に追加されたフィルターを示しています。このフィルター設定では、リスクベースの優先度値が 50 より大きい LogRhythm アラームのみがプルされます。

      リスクベースの優先度が 50 より大きいアラームを取り込むための新しいフィルター条件を追加する。
    4. すべての重大な LogRhythm アラームフィールドが Now Platform セキュリティインシデントにマッピングされ、アラームの取り込みを制限するフィルタリング基準を設定したことを確認したら、いずれかを選択して設定を続行します。
      オプション説明
      続行またはプレビュー マッピング構成を使用したセキュリティインシデントの [プレビュー] フォームが表示されます。

      進捗状況バーで [プレビュー] が選択されています。次のステップでは、マッピングされたアラームを使用してセキュリティインシデントを表示します。
      更新 データを保存し、[アラームプロファイル] リストに戻ります。
      前へ アラームプロファイルレコードが表示されます。
      削除 このアラームプロファイルを削除すると、[アラームプロファイル] リストが表示されます。

    次のタスク

    次のステップでは、セキュリティインシデントにマッピングしたフィールドをプレビューします。「マッピングされた LogRhythm アラーム値を使用したセキュリティインシデントのプレビュー」を参照してください。