Добавление полей контекста в поток данных об угрозах
11 апреля 2024
ID 195471
В этом разделе описывается порядок добавления дополнительных полей к исходящим событиям, которые отправляет Kaspersky CyberTrace. Эти настройки применяются к тенанту, выбранному в раскрывающемся списке всех доступных тенантов в левом верхнем углу окна.
О полях контекста
Поля контекста — это поля, которые можно вставлять в исходящие события отдельно от контекста записей потока данных об угрозах. Поля контекста можно использовать для извлечения конкретной информации из контекста и передачи ее в отдельные поля.
Добавление полей контекста
Работа с полями контекста
Чтобы добавить поля контекста для потока данных об угрозах, выполните следующие действия:
- Перейдите на страницу Settings.
- Откройте вкладку Feeds.
- В разделе Filtering rules for feeds выберите вкладку, содержащую поток данных об угрозах, который требуется настроить.
- Найдите поток данных об угрозах, который требуется настроить, и разверните соответствующий раздел.
- В разделе настроек отдельного потока данных об угрозах найдите раздел Actionable fields.
- Чтобы добавить новое поле контекста, нажмите на кнопку Add new field.
- В поле ввода Field name укажите имя одного из полей в исходном потоке данных об угрозах.
Если запись потока данных об угрозах содержит несколько полей с одинаковыми именами и это имя упоминается в списке полей контекста, в исходящее событие будут включены значения всех этих полей, перечисленные в одном поле через точку с запятой.
- В поле ввода Output укажите имя поля в том виде, как оно будет вставляться в исходящие события.
Если текстовое поле Output не заполнено, имя поля в исходящем событии будет таким же, как имя поля, указанное в потоке данных об угрозах.
- Прокрутите вкладку Feeds до конца и нажмите кнопку Save.