보안 경보로 임포트된 데이터
더 많은 JSON 인코딩 데이터로 이벤트가 생성되면 해당 데이터는 JSON 데이터에서 해당 값의 fieldName과 일치하는 이름을 가진 필드로 임포트됩니다.
타사 모니터링 소프트웨어(예: Splunk)에 기본 시스템에 공통되지 않는 데이터가 있는 경우, 경보 테이블에 새 필드를 추가하여 데이터 임포트를 수용할 수 있습니다. 경보로 데이터를 임포트하기 위한 JSON 형식은 이벤트 및 경보에서 보안 인시던트를 생성하는 데 사용되는 것과 동일한 형식입니다.
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }유일한 차이점은 필드의 데이터를 항상 fieldValue로 덮어쓴다는 것입니다.
보안 이벤트 데이터를 임포트하면 경보 테이블의 필드가 일치하는 필드 이름으로 채워집니다. 경보가 나중에 보안 인시던트로 전환되면 동일한 추가 정보 데이터가 보안 인시던트의 일치하는 필드를 채웁니다.