Question & Answer
Question
ベンダー固有の項目のカスタム・プロパティーを作成する場合、QRadarで共通プロパティーの標準化または正規化を試みるべきでしょうか。
Answer
はい。ベンダー固有のフィールドをQRadar内の共通プロパティーに正規化することがベスト・プラクティスです。ユーザーが未加工イベントからの値をカスタム・プロパティーとして取り込みたい場合は常に、まったく新しい式を作成するのではなく、同じ意味を持つ既存のプロパティーに式を追加することを目指すべきです。使い始めたばかりのお客様は、この拡張機能をApp Exchangeからインストールすることから始めることができます。このアプリケーションは、QRadarコンテンツ・チームが作成したすべての各種コンテンツ・パックに適合する適切なプロパティー・ベースラインを取得する手段です。
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSV4BL","label":"IBM QRadar"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
17 May 2024
UID
ibm17043459