QRadar用コンテンツパックのインストールと設定

このガイドでは、SOC Primeプラットフォームで利用可能な「SOC Prime – Sigmaカスタムイベントプロパティ」コンテンツアイテムの推奨例に基づいて、QRadar用コンテンツパックをデプロイする方法について説明します。この推奨されるコンテンツパックは、Sigma翻訳で使用される拡張カスタムイベントプロパティを含んでいます。

注意:
SOC Primeは、 Sigmaカスタムイベントプロパティ QRadar向けコンテンツパックをデフォルトでインストールすることを推奨しています。インストール後、SOC Primeプラットフォームで利用可能なQRadar向けすべてのSigma翻訳は、SOC Primeによって検証され、カスタムフィールドマッピング設定を構成する必要なく、有効になります。

SOC Primeプラットフォームからの推奨コンテンツパックのダウンロード

1. にログインします。 SOC Primeプラットフォーム にユーザー認証情報を使用して
2. を選択します。 Threat Detection Marketplace > はじめに.
3. を選択します。 検索 をナビゲーションパネルから選びます。
4. プラットフォームで推奨されるコンテンツパックを見つけるには、「カスタムイベントプロパティ」キーワードを コンテンツ検索 フィールドに入力し、 SOC Prime – Sigmaカスタムイベントプロパティ を提案されたオプションから選択します。
5. ページを検索基準に応じてフィルタリングし、「SOC Prime – Sigmaカスタムイベントプロパティ」をクリックしてコンテンツアイテムにドリルダウンします。コンテンツパックページは自動的に 検索 QRadar QRadar タブを事前選択されたプラットフォームとして表示します。
6. コンテンツアイテムページで、「 追加情報 」セクションで推奨されるコンテンツが環境特性にどのように適合しているかを確認してください。
7. 「SOC Prime – Sigmaカスタムイベントプロパティ」 コンテンツパックをダウンロードするには、ページの右上隅にある ダウンロード ボタンをクリックします。

注意:
「SOC Prime – Sigma Custom Event Properties」コンテンツパックを環境にインストールできるように、IBM QRadar 7.2.8 またはそれ以降のバージョンを使用していることを確認してください。

推奨されるQRadarコンテンツパックのインストール

推奨されるコンテンツパックをQRadarインスタンスにインストールするには:

1. SIEMインスタンスにログインした後、 を選択し 管理 タブ。
2. を選択します。 拡張管理 を システム構成 メニューから。
3. をクリックします。 Add ボタン。
4. 次に 参照 ボタンをクリックし、「SOC Prime – Sigmaカスタムイベントプロパティ」コンテンツを含むダウンロードしたアーカイブを選択します。

   

5. を選択します。 即座にインストール し、インストールを確認 Add.
6. するには インストールの確認 ポップアップで、「 インストール ボタン。

」ボタンをクリックします。それで、QRadar用の「SOC Prime – Sigmaカスタムイベントプロパティ」コンテンツパックのインストールが完了しました。これで、SOC Prime検証済みのSigmaルールを、追加のカスタマイズ設定なしでQRadar言語形式に翻訳してデプロイする準備が整いました。

ベンダーに依存しないコードを作成し、64のクエリ言語に瞬時に変換可能にすることを目指していますか？ Uncoder AI に頼って、拡張知能と集団産業の専門知識に裏打ちされた、選択したSIEM、EDR、またはXDR言語形式への双方向クエリ翻訳を最大限に活用してください。