セキュリティインシデントへの LogRhythm アラームのマッピング
取り込む LogRhythm ソースを選択したら、個々の LogRhythm アラームフィールドを Now Platform セキュリティインシデントのフィールドにマッピングする必要があります。
アラームのマッピングには、次のタスクが含まれます。
- LogRhythm アラームをマッピングします。このタスクでは、アラーム ID または LogRhythm クライアントコンソールから最新のアラームを使用して、サンプルアラームをリストして取り込みます (プルします) 。
- [サンプルアラーム] フィールドは、次の 3 つのグループに分類されます。
- [アラーム] フィールド:利用可能なアラームフィールドとそれに対応する値が表示されます。
- [イベント] フィールド:利用可能なイベントフィールドとそれに対応する値が表示されます。
- [ドリルダウンログ] フィールド:利用可能なドリルダウンログフィールドとそれに対応する値が表示されます。
- プルした各アラーム ID はタブとして表示されます。[アラーム ID] タブで、フォームの左側にある [アラームサンプル取り込み] セクションのすべての重大なアラームのフィールドが、フォームの右側の [SIR インシデントフィールドマッピング] セクションにマッピングされていることを確認します。
- アラームを [SIR インシデントフィールドマッピング] フィールドにマッピングすると、アラームカテゴリが [入力式] フィールドにも表示されます。例:${Alarm: alarmid}$
- セキュリティインシデントのフィールドを追加または削除することで、設定を変更できます。提供されている色分けを使用して、見落とされているフィールドや重複フィールドを追跡します。
- アラームをフィルタリングして、SIR アプリケーションに取り込むアラームを指定することができます。アラームを直接フィルタリングするか、アラームカテゴリを使用して、[アラーム]、[イベント]、または [ドリルダウンログ] に基づいて検索を絞り込むことができます。
- セキュリティインシデントの [優先度] フィールドと [カテゴリ] フィールドの値をフォーマットする場合は、スクリプトエディターを使用します。
次のステップは「LogRhythm アラームフィールドのセキュリティインシデントフィールドへのマッピング」です。