Données importées dans les alertes de sécurité
Lorsqu’un événement est créé avec davantage de données codées JSON, ces données sont importées dans n’importe quel champ dont le nom correspond au fieldName de cette valeur dans les données JSON.
Si votre logiciel de surveillance tiers (par exemple, Splunk) contient des données qui ne sont pas communes au système de base, vous pouvez ajouter de nouveaux champs à la table Alerte pour faciliter l’importation des données. Le format JSON pour l’importation de données dans les alertes est le même que celui utilisé pour créer des incidents de sécurité à partir d’événements et d’alertes :
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }La seule différence est que les données du champ sont toujours remplacées par fieldValue.
Lorsque les données d’événement de sécurité sont importées, elles renseignent les champs de la table Alerte avec les noms de champs correspondants. Si l’alerte est ultérieurement transformée en incident de sécurité, les mêmes données d’informations supplémentaires renseignent les champs correspondants dans l’incident de sécurité.