Installation et Configuration des Packs de Contenu pour QRadar

Ce guide décrit comment déployer des Content Packs pour QRadar en se basant sur l’exemple recommandé de l’élément de contenu « SOC Prime – Sigma Custom Event Properties » disponible sur la plateforme SOC Prime. Ce Content Pack recommandé contient des propriétés d’événements personnalisées étendues utilisées dans les traductions Sigma.

Remarque :
SOC Prime recommande d’installer le Sigma Custom Event Properties Content Pack pour QRadar par défaut. Une fois installé, toutes les traductions Sigma pour QRadar disponibles sur la plateforme SOC Prime et vérifiées par SOC Prime fonctionneront immédiatement sans besoin de configurer les paramètres de mappage de champ personnalisé.

Téléchargement du Content Pack recommandé depuis la plateforme SOC Prime

1. Connectez-vous à la plateforme SOC Prime avec vos identifiants utilisateur.
2. Sélectionnez Threat Detection Marketplace > Commencer.
3. Sélectionnez Rechercher dans le panneau de navigation.
4. Pour trouver le Content Pack recommandé sur la plateforme, entrez les mots-clés « custom event properties » dans le champ de recherche de contenu et sélectionnez SOC Prime – Sigma Custom Event Properties parmi les options suggérées.
5. Approfondissez l’élément de contenu en cliquant sur « SOC Prime – Sigma Custom Event Properties » depuis la Rechercher page filtrée selon vos critères de recherche. La page du Content Pack affichera automatiquement l’onglet QRadar comme plateforme présélectionnée.
6. Sur la page de l’élément de contenu, vérifiez la section Infos supplémentaires pour la compatibilité du contenu recommandé avec les caractéristiques de votre environnement.
7. Téléchargez le Content Pack « SOC Prime – Sigma Custom Event Properties » en cliquant sur le bouton Télécharger dans le coin supérieur droit de la page.

Remarque :
Pour pouvoir installer le Content Pack « SOC Prime – Sigma Custom Event Properties » dans votre environnement, assurez-vous d’utiliser IBM QRadar 7.2.8 ou une version ultérieure.

Installation du Content Pack QRadar Recommandé

Pour installer le Content Pack recommandé sur votre instance QRadar :

1. Après vous être connecté à votre instance SIEM, sélectionnez l’onglet Admin .
2. Sélectionnez Gestion des Extensions du menu Configurations du Système .
3. Cliquez sur le bouton Add .
4. Puis cliquez sur le bouton Parcourir et sélectionnez l’archive téléchargée avec le contenu « SOC Prime – Sigma Custom Event Properties ».

   

5. Sélectionnez Installer immédiatement et confirmez l’installation en cliquant Add.
6. Pour terminer l’installation, dans la fenêtre pop-up de Confirmation de l’installation , cliquez sur le bouton Installer .

C’est fait, vous avez réussi à installer le Content Pack « SOC Prime – Sigma Custom Event Properties » pour QRadar. Vous êtes maintenant prêt à déployer des règles Sigma vérifiées par SOC Prime, traduites au format de langage de QRadar immédiatement, sans paramètres de personnalisation supplémentaires.

Vous visez à créer un code indépendant des fournisseurs, convertible instantanément en 64 langages de requête ? Fiez-vous à Uncoder AI pour tirer le meilleur parti de la traduction de requêtes bidirectionnelles vers le format de langage SIEM, EDR ou XDR de votre choix, soutenue par l’intelligence augmentée et l’expertise collective de l’industrie.