Installazione e Configurazione dei Pacchetti di Contenuti per QRadar

Questa guida descrive come distribuire i Content Pack per QRadar basandosi sull’esempio raccomandato dell’elemento di contenuto “SOC Prime – Sigma Custom Event Properties” disponibile sulla piattaforma SOC Prime. Questo Content Pack raccomandato contiene proprietà eventi personalizzate estese utilizzate nelle traduzioni Sigma.

Nota:
SOC Prime raccomanda di installare il Sigma Custom Event Properties Content Pack per QRadar di default. Una volta installato, tutte le traduzioni Sigma per QRadar disponibili sulla piattaforma SOC Prime e verificate da SOC Prime, funzioneranno immediatamente senza la necessità di configurare le impostazioni di mappatura dei campi personalizzati.

Scaricare il Content Pack raccomandato dalla piattaforma SOC Prime

1. Accedi alla piattaforma SOC Prime con le tue credenziali utente.
2. Seleziona Threat Detection Marketplace > Inizia.
3. Seleziona Cerca dal pannello di navigazione.
4. Per trovare il Content Pack raccomandato sulla piattaforma, inserisci le parole chiave “proprietà eventi personalizzate” nel Campo di Ricerca Contenuti e seleziona SOC Prime – Sigma Custom Event Properties dalle opzioni suggerite.
5. Approfondisci l’elemento di contenuto cliccando su “SOC Prime – Sigma Custom Event Properties” dalla Cerca pagina filtrata secondo i tuoi criteri di ricerca. La pagina del Content Pack visualizzerà automaticamente la scheda QRadar come piattaforma preselezionata.
6. Nella pagina dell’elemento di contenuto, controlla la sezione Ulteriori Informazioni per la compatibilità del contenuto raccomandato con le caratteristiche del tuo ambiente.
7. Scarica il “SOC Prime – Sigma Custom Event Properties” Content Pack cliccando il pulsante Scarica nell’angolo superiore destro della pagina.

Nota:
Per poter installare il “SOC Prime – Sigma Custom Event Properties” Content Pack nel tuo ambiente, assicurati di usare IBM QRadar 7.2.8 o una versione più recente.

Installazione del Content Pack QRadar raccomandato

Per installare il Content Pack raccomandato nella tua istanza QRadar:

1. Dopo aver effettuato l’accesso alla tua istanza SIEM, seleziona la scheda Admin .
2. Seleziona Gestione Estensioni dal menu Configurazioni di Sistema .
3. Clicca il Add pulsante Aggiungi
4. Poi clicca il pulsante Sfoglia e seleziona l’archivio scaricato con il contenuto “SOC Prime – Sigma Custom Event Properties”.

   

5. Seleziona Installa immediatamente e conferma l’installazione cliccando Add.
6. Per completare l’installazione, nella finestra di conferma dell’installazione clicca il pulsante Installa pulsante Aggiungi

Ecco fatto, hai installato con successo il Content Pack “SOC Prime – Sigma Custom Event Properties” per QRadar. Ora sei pronto a distribuire le regole Sigma verificate da SOC Prime tradotte nel formato linguistico QRadar immediatamente senza impostazioni di personalizzazione aggiuntive.

Vuoi creare codice indipendente dal fornitore convertibile istantaneamente in 64 linguaggi di query? Affidati a Uncoder AI per sfruttare al massimo la traduzione bidirezionale delle query al formato linguistico di SIEM, EDR o XDR di tua scelta, supportata da intelligenza aumentata e competenze collettive del settore.