セキュリティアラートにインポートされたデータ
JSON エンコードデータをさらに使用してイベントが作成されると、そのデータは JSON データ内のその値の fieldName と一致する名前を持つフィールドにインポートされます。
サードパーティのモニタリングソフトウェア (Splunk など) にベースシステムと共通していないデータがある場合は、アラートテーブルに新しいフィールドを追加してデータをインポートできます。アラートにデータをインポートするための JSON 形式は、イベントやアラートからセキュリティインシデントを作成するために使用される形式と同じです。
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }唯一の違いは、フィールドのデータが常に fieldValue で上書きされることです。
セキュリティイベントデータがインポートされると、一致するフィールド名がアラートテーブルのフィールドに入力されます。アラートが後でセキュリティインシデントになった場合、同じ追加情報データがセキュリティインシデントの一致するフィールドに入力されます。