Données importées dans les alertes de sécurité
Lorsqu’un événement est créé avec davantage de données codées JSON, ces données sont importées dans n’importe quel champ dont le nom correspond au fieldName de cette valeur dans les données JSON.
Si vous avez des données dans votre logiciel de surveillance tiers (par exemple, Splunk) qui ne sont pas communes au système de base, vous pouvez ajouter de nouveaux champs à la table Alerte pour prendre en charge l’importation de données. Le format JSON pour l’importation de données dans les alertes est le même que celui utilisé pour la création d’incidents de sécurité à partir d’événements et d’alertes :
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }La seule différence est que les données du champ sont toujours remplacées par fieldValue.
Lorsque les données d’événement de sécurité sont importées, les champs de la table Alerte sont renseignés avec les noms de champs correspondants. Si l’alerte est ultérieurement transformée en incident de sécurité, les mêmes données d’information supplémentaires renseignent les champs correspondants de l’incident de sécurité.