Données importées dans les alertes de sécurité
Lorsqu’un événement est créé avec plus de données codées JSON, ces données sont importées dans n’importe quel champ dont le nom correspond au fieldName de cette valeur dans les données JSON.
Si votre logiciel de surveillance tiers (par exemple, Splunk) contient des données qui ne sont pas communes au système de base, vous pouvez ajouter de nouveaux champs à la table Alerte pour permettre l’importation de données. Le format JSON pour l’importation de données dans les alertes est le même que celui utilisé pour créer des incidents de sécurité à partir d’événements et d’alertes :
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }La seule différence est que les données du champ sont toujours remplacées par la valeur du champ.
Lorsque les données d’événement de sécurité sont importées, les champs de la table Alerte sont renseignés avec les noms de champs correspondants. Si l’alerte est ultérieurement transformée en incident de sécurité, les mêmes données d’informations supplémentaires renseignent les champs correspondants dans l’incident de sécurité.