Données importées dans les alertes de sécurité
Lorsqu’un événement est créé avec plus de données codées JSON, ces données sont importées dans n’importe quel champ dont le nom correspond au fieldName de cette valeur dans les données JSON.
Si vous avez des données dans votre logiciel de surveillance tiers (par exemple, Splunk) qui ne sont pas communes au système de base, vous pouvez ajouter de nouveaux champs à la table Alerte pour prendre en charge l’importation de données. Le format JSON utilisé pour l’importation de données dans des alertes est le même que celui utilisé pour créer des incidents de sécurité à partir d’événements et d’alertes :
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }La seule différence est que les données du champ sont toujours remplacées par la fieldValue.
Lorsque les données d’événement de sécurité sont importées, les champs de la table Alerte sont remplis avec les noms de champs correspondants. Si l’alerte est ensuite transformée en incident de sécurité, les mêmes données d’informations supplémentaires renseignent les champs correspondants de l’incident de sécurité.