LogRhythm のアラームプロファイルの作成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • 作成して名前を付けたアラームプロファイルで、LogRhythm クライアントコンソールからプルするアラームを指定します。また、それらを Now Platform セキュリティインシデントのフィールドにどのようにマッピングするかも定義します。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    設定されたアラームプロファイルに基づいて、1 つのアラームプロファイルですべてのタイプのアラームをそのまま取り込むことができますが、フィルター基準を使用して特定のタイプのアラームを取り込むこともできます。この Now Platform 統合を使用すると、設定されたすべてのアラームルールまたは作成されたプロファイルに基づく特定のルールが取り込まれます。続いて、リスクレベルが高いアラームのみなどのアラームルールをフィルタリングして、セキュリティインシデントを作成するアラームを指定できます。セキュリティインシデントが作成される前に、フィルタリングされたアラームの個々のフィールド値が Now Platform セキュリティインシデントの対応するフィールドにマッピングされます。この設定は、Now Platform インスタンス内のアラームプロファイルを介して行われます。

    手順

    1. 次のように移動する。 All (すべて) > LogRhythm 統合.
    2. [LogRhythm アラームプロファイル] モジュールを選択して、[アラームプロファイル] リストを表示します。
      図 : 1. アラームプロファイル
      アラームプロファイルを作成する
    3. 新しいアラームプロファイルを作成するには、[新規] をクリックします。
      新しいアラームプロファイルのフォームが表示されます。進捗状況バーのページ上部の [名前] が選択されます。このバーは、構成中の進捗状況を追跡します。
    4. フォームの各フィールドに入力します。
      表 : 1. アラームプロファイル
      フィールド 説明
      名前 アラームプロファイルの名前。この名前は、「無許可のアクセス」 (VPN)、「マルウェア」、「フィッシング」 などのアラームタイプを識別するのに役立ちます。
      簡単な説明 アラームのタイプやアラームカテゴリなどのアラームプロファイルに関する補足情報の短いテキスト。説明の例:All alarms associated with unauthorized Powershell and Sudo access attempts. (無許可の PowerShell および sudo アクセス試行に関連するすべてのアラーム。)
      ソース 選択リストのソースサーバー。このリストは既に設定した LogRhythm 構成から成ります (例:logrhythm-server-a)。「プラグインのインストールおよび LogRhythm の構成」を参照してください。
      順序

      アラームプロファイルの優先度。このフィールドは、2 つ以上のアラームプロファイルがトリガー条件を共有する場合にアラームプロファイルが実行される順序を示します。
      アクティブ デフォルトでは、このオプションは選択されていません。すべてのアラームプロファイルのセットアップ手順を完了して [完了] をクリックすると、このチェックボックスをオンにしてアラームプロファイルをアクティブにするように求められます。アラームプロファイルがアクティブな場合、LogRhythm クライアントコンソールから自動的にアラームがプルされます。
    5. [続行] をクリックしてデータを保存し、[マッピング] フォームに進みます。

      検証が正常に行われると、ページが再ロードされ、[マッピング] フォームが表示されます。接続と資格情報を正常に検証するまで、設定を続行できません。