Instalación y Configuración de Paquetes de Contenido para QRadar

Esta guía describe cómo implementar Content Packs para QRadar basados en el ejemplo recomendado del elemento de contenido «SOC Prime – Sigma Custom Event Properties» disponible en la plataforma SOC Prime. Este Content Pack recomendado contiene propiedades de eventos personalizadas extendidas utilizadas en las traducciones de Sigma.

Nota:
SOC Prime recomienda instalar el Sigma Custom Event Properties Content Pack para QRadar por defecto. Una vez instalado, todas las traducciones de Sigma para QRadar disponibles en la plataforma SOC Prime y verificadas por SOC Prime, funcionarán de inmediato sin la necesidad de configurar ajustes de mapeo de campos personalizados.

Descargar el Content Pack Recomendado desde la plataforma SOC Prime

1. Inicie sesión en la SOC Prime Platform con sus credenciales de usuario.
2. Seleccione Threat Detection Marketplace > Empezar.
3. Seleccione Buscar desde el panel de navegación.
4. Para encontrar el Content Pack recomendado en la plataforma, ingrese las palabras clave «propiedades de eventos personalizadas» en el Campo de Búsqueda de Contenido y seleccione SOC Prime – Sigma Custom Event Properties de las opciones sugeridas.
5. Profundice en el elemento de contenido haciendo clic en «SOC Prime – Sigma Custom Event Properties» desde la Buscar página filtrada de acuerdo a sus criterios de búsqueda. La página del Content Pack mostrará automáticamente la pestaña QRadar como la plataforma preseleccionada.
6. En la página del elemento de contenido, revise la sección Información Adicional para la compatibilidad del contenido recomendado con las características de su entorno.
7. Descargue el Content Pack «SOC Prime – Sigma Custom Event Properties» haciendo clic en el botón Descargar en la esquina superior derecha de la página.

Nota:
Para poder instalar el Content Pack «SOC Prime – Sigma Custom Event Properties» en su entorno, asegúrese de estar utilizando IBM QRadar 7.2.8 o una versión más reciente.

Instalación del Content Pack Recomendado para QRadar

Para instalar el Content Pack recomendado en su instancia QRadar:

1. Después de iniciar sesión en su instancia SIEM, seleccione la pestaña Admin .
2. Seleccione Gestión de Extensiones desde el menú de Configuraciones del Sistema .
3. Haga clic en el Add botón.
4. Luego haga clic en el botón Examinar y seleccione el archivo descargado con el contenido «SOC Prime – Sigma Custom Event Properties».

   

5. Seleccione Instalar inmediatamente y confirme la instalación haciendo clic Add.
6. Para completar la instalación, en la ventana emergente Confirmar Instalación , haga clic en el botón Instalar botón.

¡Eso es todo, ha instalado con éxito el Content Pack «SOC Prime – Sigma Custom Event Properties» para QRadar. Ahora está listo para implementar las reglas de Sigma verificadas por SOC Prime traducidas al formato de lenguaje QRadar de inmediato sin configuraciones de personalización adicionales.

¿Buscando crear código independiente del proveedor convertible instantáneamente a 64 lenguajes de consulta? Confíe en Uncoder AI para aprovechar al máximo la traducción de consultas bidireccional al formato de lenguaje SIEM, EDR, o XDR de su elección respaldada por inteligencia aumentada y experiencia colectiva de la industria.