Добавление полей контекста в поток данных об угрозах

В этом разделе описывается порядок добавления дополнительных полей к исходящим событиям, которые отправляет Kaspersky CyberTrace. Эти настройки применяются к тенанту, выбранному в раскрывающемся списке всех доступных тенантов в левом верхнем углу окна.

О полях контекста

Поля контекста — это поля, которые можно вставлять в исходящие события отдельно от контекста записей потока данных об угрозах. Поля контекста можно использовать для извлечения конкретной информации из контекста и передачи ее в отдельные поля.

Добавление полей контекста

Работа с полями контекста

Чтобы добавить поля контекста для потока данных об угрозах, выполните следующие действия:

1. Перейдите на страницу Settings.
2. Откройте вкладку Feeds.
3. В разделе Filtering rules for feeds выберите вкладку, содержащую поток данных об угрозах, который требуется настроить.
4. Найдите поток данных об угрозах, который требуется настроить, и разверните соответствующий раздел.
5. В разделе настроек отдельного потока данных об угрозах найдите раздел Actionable fields.
6. Чтобы добавить новое поле контекста, нажмите на кнопку Add new field.
7. В поле ввода Field name укажите имя одного из полей в исходном потоке данных об угрозах.

   Если запись потока данных об угрозах содержит несколько полей с одинаковыми именами и это имя упоминается в списке полей контекста, в исходящее событие будут включены значения всех этих полей, перечисленные в одном поле через точку с запятой.

8. В поле ввода Output укажите имя поля в том виде, как оно будет вставляться в исходящие события.

   Если текстовое поле Output не заполнено, имя поля в исходящем событии будет таким же, как имя поля, указанное в потоке данных об угрозах.

9. Прокрутите вкладку Feeds до конца и нажмите кнопку Save.