Warum SIGNL4
Log Rhythm ist eine SIEM-Plattform, die dabei hilft, Cyber-Bedrohungen zu erkennen und zu stoppen. Das Überwachungs-Dashboard bietet einen hervorragenden Überblick über die aktuelle Lage. Standardmäßig sendet Log Rhythm eine E-Mail an bestimmte Personen, wenn ein Alarm ausgelöst wird. SIGNL4 ermöglicht es nun, dass diese Alarm mobil zur richtigen Zeit an die richtigen Personen in einer Rufbereitschaft weitergeleitet werden. Mit einer Bereitschaftsdienstplanung und einer konfigurierbaren, automatischen Eskalation an einen Vorgesetzten stellt SIGNL4 sicher, dass ein wichtiger Alarm nicht in einem Meer von E-Mails verloren geht.
So funktioniert es
Einfach die Alarme aus LogRythm an die E-Mail-Adresse des SIGNL4-Teams weiterleiten und SIGNL4 stellt die mobilen Benachrichtigungs- und Alarmierungsfunktionen für Einsatz- und Netzwerkteams bereit.
Integration
Szenarien
Störmeldungen werden an SIGNL4 gesendet
Sichere Übermittelung, Kategorisierung und zielgenaues Routing
Mobile, persistente Alarmierung von Bereitschafts- und Diensthabenden per Push, SMS und Anruf mit Nachverfolgung und Eskalation
UND SO FUNKTIONIERT ES
In unserem Beispiel werden wir den Log-Rhythmus-Alarm per E-Mail an die E-Mail-Adresse SIGNL4 weiterleiten. Dadurch werden alle Teammitglieder im Dienst per Push, SMS und Sprachbenachrichtigung alarmiert.
SIGNL4 ist eine mobile Alarmbenachrichtigungs-App für die leistungsstarke Alarmierung, das Alarmmanagement und die mobile Zuweisung von Arbeitsaufgaben. Holt euch die App unter https://www.signl4.com.
Voraussetzungen
Ein SIGNL4-Konto (https://www.signl4.com)
Ein Konto bei Log Rhythm (https://www.LogRhythm.com/)
Zuerst müssen wir einen Benutzer auswählen, an den die Alarme weitergeleitet werden sollen. Folge diesen Schritten aus der Dokumentation Log Rhythm, um einen neuen Benutzer anzulegen. Klicke in der Hauptsymbolleiste auf Deployment Manager.
Klicke auf die Registerkarte Konten.
Klicke im Menü Datei auf Neu. Das Dialogfeld „ist dieses Konto eine Einzelperson?“ erscheint.
Das Dialogfeld „Eigenschaften der Person“ wird angezeigt.
Wähle eine der folgenden Optionen:
Gebe in das Feld Anzeigename den Namen der zu erstellenden Rolle ein (z. B. Eingeschränkter Analyst oder Eingeschränkter Administrator).
Falls nicht bereits ausgewählt, klicke auf die Registerkarte Kontaktmethoden.
Wähle auf der Registerkarte Kontaktmethoden die Methoden aus, die das Alarmierungsmodul verwendet, um diesen Benutzer oder diese Rolle zu kontaktieren, wenn ein mit ihnen verbundener Alarm ausgelöst wurde.
Hinweis: Der Benachrichtigungsrichtlinien-Manager filtert automatisch Alarmbenachrichtigungsrichtlinien heraus, die nicht dem unter Kontaktmethodentyp ausgewählten Typ entsprechen.
Klicke auf Speichern. Die ausgewählte Kontaktmethode wird im Feld Kontaktmethoden angezeigt.
Wiederhole den Vorgang nach Bedarf, um alle gewünschten Kontaktmethoden einzubeziehen.
Klicke auf die Registerkarte Zusätzliche Informationen und gebe je nach Bedarf eine Kurzbeschreibung oder zusätzliche Details ein.
Klicke auf die Registerkarte Berechtigungen.
Wähle die entsprechenden Berechtigungen für diesen Benutzer oder diese Rolle aus der Liste Berechtigungen aus.
Klicke auf OK.
Alarme, die auf diesen Benutzer abzielen, lösen nun Alarme innerhalb von SIGNL4 aus. Hier ist ein Beispiel für eine E-Mail, die normalerweise von Log Rhythm empfangen wird. Diese E-Mail wird analysiert, um bestimmte Kategorien auszulösen und die Mitglieder des SIGNL4-Teams per Push, Text und Sprachanruf zu alarmieren.
ALARM-OPTIMIERUNG
SIGNL4 kann die Wahrnehmung, Reaktion und Bearbeitung von kritischen Alarmen entscheidend verbessern. Durch die Anpassung von Farbe, Symbol und Push-Ton wird die Zuordnung und Relevanz von Alarmen deutlich beschleunigt.
Alarmfarbe ändern, Titel + Text überschreiben
Dazu musst du entsprechend „Dienste und Systeme“-Kategorien erstellen, die auf bestimmte Schlüsselwörter ansprechen. Gehe dazu in der mobilen App in die Einstellungen und wähle „Dienste und Systeme“. Erstelle eine neue Kategorie oder bearbeite einfach eine bestehende.
Eine Kategorie wird immer angewendet, wenn einzelne Schlüsselwörter oder Kombinationen von Schlüsselwörtern im auslösenden Event gefunden werden.