In Sicherheitswarnungen importierte Daten
Wenn ein Event mit mehr JSON-codierten Daten erstellt wird, werden diese Daten in ein beliebiges Feld mit einem Namen importiert, der dem fieldName dieses Werts in den JSON-Daten entspricht.
Wenn Sie Daten in Ihrer Überwachungssoftware einer Drittpartei (z. B. Splunk) haben, die im Basissystem nicht vorhanden sind, können Sie der Warnungstabelle neue Felder hinzufügen, um den Datenimport zu berücksichtigen. Das JSON-Format zum Importieren von Daten in Warnungen ist das gleiche Format, das zum Erstellen von Security Incidents aus Events und Warnungen verwendet wird:
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }Der einzige Unterschied besteht darin, dass die Daten im Feld immer mit dem Wert fieldValue überschrieben werden.
Wenn die Sicherheitsereignisdaten importiert werden, werden die Felder in der Warnungstabelle mit übereinstimmenden Feldnamen ausgefüllt. Wenn die Warnung später in einen Security Incident umgewandelt wird, werden übereinstimmende Felder im Security Incident mit denselben zusätzlichen Informationsdaten ausgefüllt.