Dados importados para alertas de segurança
Quando um evento é criado com mais dados codificados por JSON, esses dados são importados para qualquer campo com um nome que corresponda ao fieldName desse valor nos dados JSON.
Se você tiver dados no software de monitoramento de terceiros (por exemplo, Splunk) que não sejam comuns ao sistema base, poderá adicionar novos campos à tabela Alerta para acomodar a importação de dados. O formato JSON para importar dados para alertas é o mesmo formato usado para criar incidentes de segurança a partir de eventos e alertas:
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }A única diferença é que os dados no campo são sempre substituídos pelo fieldValue.
Quando os dados do evento de segurança são importados, eles preenchem os campos na tabela Alerta com nomes de campo correspondentes. Se o alerta for posteriormente transformado em um incidente de segurança, os mesmos dados de informações adicionais preencherão os campos correspondentes no incidente de segurança.