Installation und Konfiguration von Content-Paketen für QRadar

Dieser Leitfaden beschreibt, wie Content Packs für QRadar basierend auf dem empfohlenen Beispiel des „SOC Prime – Sigma Custom Event Properties“ Content-Pakets auf der SOC Prime Plattform bereitgestellt werden. Dieses empfohlene Content-Pack enthält erweiterte benutzerdefinierte Ereigniseigenschaften, die in Sigma-Übersetzungen verwendet werden.

Hinweis:
SOC Prime empfiehlt die Installation des Sigma Custom Event Properties Content Packs für QRadar standardmäßig. Sobald es installiert ist, funktionieren alle Sigma-Übersetzungen für QRadar, die auf der SOC Prime Plattform verfügbar und von SOC Prime verifiziert sind, ohne zusätzliche Einstellungen zur Konfiguration der benutzerdefinierten Feldzuordnung.

Herunterladen des empfohlenen Content-Pakets von der SOC Prime Plattform

1. Loggen Sie sich in die SOC Prime Plattform mit Ihren Benutzeranmeldedaten ein.
2. Wählen Sie Threat Detection Marketplace > Erste Schritte.
3. Wählen Sie Suche aus dem Navigationsbereich.
4. Um das empfohlene Content Pack auf der Plattform zu finden, geben Sie die Schlüsselwörter „custom event properties“ in das Inhaltssuche Feld ein und wählen Sie SOC Prime – Sigma Custom Event Properties aus den vorgeschlagenen Optionen.
5. Gehen Sie zum Inhaltsartikel, indem Sie im Suche nach Ihren Suchkriterien gefilterten Seite auf „SOC Prime – Sigma Custom Event Properties“ klicken. Die Seite des Content-Pakets zeigt automatisch den QRadar Tab als vorab ausgewählte Plattform an.
6. Prüfen Sie auf der Inhaltsartikel-Seite den Zusätzliche Informationen Abschnitt auf die Kompatibilität des empfohlenen Inhalts mit den Eigenschaften Ihrer Umgebung.
7. Laden Sie das „SOC Prime – Sigma Custom Event Properties“ Content Pack herunter, indem Sie auf die Download Schaltfläche in der oberen rechten Ecke der Seite klicken.

Hinweis:
Um das „SOC Prime – Sigma Custom Event Properties“ Content Pack in Ihrer Umgebung installieren zu können, stellen Sie sicher, dass Sie IBM QRadar 7.2.8 oder eine neuere Version verwenden.

Installation des empfohlenen QRadar Content Packs

Um das empfohlene Content Pack in Ihrer QRadar-Instanz zu installieren:

1. Nachdem Sie sich in Ihre SIEM-Instanz eingeloggt haben, wählen Sie die Admin Registerkarte.
2. Wählen Sie Extensions Management aus den Systemkonfigurationen Menu.
3. Klicken Sie auf die Add Taste.
4. Klicken Sie dann auf die Durchsuchen Schaltfläche und wählen Sie das heruntergeladene Archiv mit den „SOC Prime – Sigma Custom Event Properties“ Inhalten aus.

   

5. Wählen Sie Installieren Sie es sofort und bestätigen Sie die Installation, indem Sie Add.
6. Um die Installation abzuschließen, klicken Sie im Installation bestätigen Pop-up auf die Installieren Taste.

Taste. Das war’s, Sie haben das „SOC Prime – Sigma Custom Event Properties“ Content Pack für QRadar erfolgreich installiert. Nun können Sie SOC Prime verifizierte Sigma-Regeln umsetzen, die in das QRadar-Sprachformat übersetzt sind, ohne zusätzliche Anpassungseinstellungen.

Streben Sie danach, anbieterneutrale Codes zu erstellen, die sofort in 64 Abfragesprachen konvertierbar sind? Vertrauen Sie auf Uncoder AI um das Beste aus der bidirektionalen Abfrageübersetzung in das SIEM-, EDR- oder XDR-Sprachformat Ihrer Wahl zu machen, gestützt durch erweiterte Intelligenz und kollektives Fachwissen der Branche.