Instalação e Configuração de Pacotes de Conteúdo para QRadar

Este guia descreve como implantar Pacotes de Conteúdo para QRadar com base no exemplo recomendado do item de conteúdo “SOC Prime – Sigma Custom Event Properties” disponível na Plataforma SOC Prime. Este Pacote de Conteúdo recomendado contém Propriedades de Evento Personalizadas ampliadas usadas em traduções Sigma.

Nota:
A SOC Prime recomenda instalar o Sigma Custom Event Properties Pacote de Conteúdo para QRadar por padrão. Uma vez instalado, todas as traduções Sigma para QRadar disponíveis na Plataforma SOC Prime e verificadas pela SOC Prime, funcionarão imediatamente sem a necessidade de configurar as configurações de Mapeamento de Campo Personalizado.

Baixando o Pacote de Conteúdo Recomendado da Plataforma SOC Prime

1. Faça login na Plataforma SOC Prime com suas credenciais de usuário.
2. Selecione Threat Detection Marketplace > Começar.
3. Selecione Pesquisar no painel de navegação.
4. Para encontrar o Pacote de Conteúdo recomendado na Plataforma, insira as palavras-chave “propriedades de evento personalizadas” no campo de Pesquisa de Conteúdo e selecione SOC Prime – Sigma Custom Event Properties nas opções sugeridas.
5. Aprofunde-se no item de conteúdo clicando em “SOC Prime – Sigma Custom Event Properties” na Pesquisar página filtrada de acordo com seus critérios de pesquisa. A página do Pacote de Conteúdo exibirá automaticamente a guia QRadar como a plataforma pré-selecionada.
6. Na página do item de conteúdo, verifique a seção de Informações Adicionais para a compatibilidade do conteúdo recomendado com as características do seu ambiente.
7. Baixe o Pacote de Conteúdo “SOC Prime – Sigma Custom Event Properties” clicando no botão Download no canto superior direito da página.

Nota:
Para poder instalar o Pacote de Conteúdo “SOC Prime – Sigma Custom Event Properties” em seu ambiente, certifique-se de que você está usando o IBM QRadar 7.2.8 ou uma versão mais recente.

Instalando o Pacote de Conteúdo de QRadar Recomendado

Para instalar o Pacote de Conteúdo recomendado na sua instância do QRadar:

1. Depois de fazer login na sua instância SIEM, selecione a guia Admin .
2. Selecione Gerenciamento de Extensões do menu de Configurações do Sistema .
3. Clique no botão Add .
4. Em seguida, clique no botão Procurar e selecione o arquivo baixado com o conteúdo “SOC Prime – Sigma Custom Event Properties”.

   

5. Selecione Instale imediatamente e confirme a instalação clicando em Add.
6. Para completar a instalação, no pop-up Confirmar Instalação , clique no botão Instalar .

Pronto, você instalou com sucesso o Pacote de Conteúdo “SOC Prime – Sigma Custom Event Properties” para QRadar. Agora você está pronto para implantar as regras Sigma verificadas pela SOC Prime traduzidas para o formato de linguagem QRadar sem configurações de personalização adicionais.

Quer criar código agnóstico a fornecedor instantaneamente convertível para 64 linguagens de consulta? Confie no Uncoder AI para aproveitar ao máximo a tradução de consultas bidirecional para o formato de linguagem SIEM, EDR ou XDR de sua escolha, apoiado por inteligência aumentada e expertise coletiva da indústria.