In Sicherheitswarnungen importierte Daten
Wenn ein Ereignis mit weiteren JSON-codierten Daten erstellt wird, werden diese Daten in ein beliebiges Feld mit einem Namen importiert, der dem FeldName dieses Werts in den JSON-Daten entspricht.
Wenn Sie in Ihrer Drittanbieter-Überwachungssoftware (z. B. Splunk) Daten haben, die dem Basissystem nicht gemeinsam sind, können Sie der Warnungstabelle neue Felder hinzufügen, um den Datenimport zu ermöglichen. Das JSON-Format zum Importieren von Daten in Warnungen ist das gleiche Format, das zum Erstellen von Security Incidents aus Ereignissen und Warnungen verwendet wird:
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }Der einzige Unterschied besteht darin, dass die Daten im Feld immer mit fieldValue überschrieben werden.
Beim Importieren der Sicherheitsereignisdaten werden die Felder in der Warnungstabelle mit entsprechenden Feldnamen gefüllt. Wenn die Warnung später in einen Security Incident umgewandelt wird, füllen dieselben zusätzlichen Informationsdaten übereinstimmende Felder im Security Incident aus.