Во вкладке Шаблон необходимо указать текст уведомления. Можно передавать не только фиксированный текст, но и данные, относящиеся к срабатыванию или его записям в журнале.
|
Наименование |
Описание |
|---|---|
|
{ANALYTICS_RULE_NAME} |
Название правила аналитики. |
|
{ANALYTICS_RULE_DESCRIPTION} |
Описание правила аналитики. |
|
{NAME} |
Название определённого срабатывания. |
|
{TIME} |
Время срабатывания правила аналитики. |
|
{TRIGGERED_ALERTS_NUMBER} |
Количество срабатываний. |
|
{FIRST_TRIGGERED_ALERT_TIME} |
Время первого срабатывания. |
|
{LAST_TRIGGERED_ALERT_TIME} |
Время последнего срабатывания. |
|
{TRIGGERED_ALERTS_NAMES} |
Список названий срабатываний, если используется группировка. |
|
{FIRST_EVENT_TIME} |
Время первого события, попавшего под срабатывание правила аналитики. |
|
{LAST_EVENT_TIME} |
Время последнего события, попавшего под срабатывания правила аналитики. |
|
{THREAT_LEVEL} |
Указанный уровень угрозы. |
|
{CATEGORY} |
Категория, к которой относится срабатывание. |
|
{PRIORITY} |
Приоритет срабатывания правила аналитики. |
|
{ADMINISTRATOR_NAME} |
Имя администратора, которым было создано правило аналитики. |
|
{USER_NAME} |
Имя пользователя. |
|
{SOURCE_ZONE} |
Зона источника. |
|
{DESTINATION_ZONE} |
Зона назначения. |
|
{SOURCE_COUNTRY} |
Страна источника. |
|
{DESTINATION_COUNTRY} |
Страна назначения. |
|
{SOURCE_IP} |
IP-адрес источника. |
|
{SOURCE_PORT} |
Порт источника. |
|
{DESTINATION_IP} |
IP-адрес назначения. |
|
{DESTINATION_PORT} |
Порт назначения. |
|
{SOURCE_ZONE_ALL} |
Зоны источников всех событий, сформировавших срабатывание. |
|
{DESTINATION_ZONE_ALL} |
Зоны назначения всех событий, сформировавших срабатывание. |
|
{SOURCE_COUNTRY_ALL} |
Страны источников всех событий, сформировавших срабатывание. |
|
{DESTINATION_COUNTRY_ALL} |
Страны назначения всех событий, сформировавших срабатывание. |
|
{SOURCE_IP_ALL} |
IP-адреса источников всех событий, сформировавших срабатывание. |
|
{SOURCE_PORT_ALL} |
Порты источников всех событий, сформировавших срабатывание. |
|
{DESTINATION_IP_ALL} |
IP-адреса назначения всех событий, сформировавших срабатывание. |
|
{DESTINATION_PORT_ALL} |
Порты назначения всех событий, сформировавших срабатывание. |
Примечание
Поле чувствительно к регистру букв. Название параметров необходимо вводить прописными буквами в фигурных скобках (как представлено в таблице).
Чтобы передать данные, относящиеся к срабатыванию, необходимо в поле во вкладке Шаблон ввести название одного из параметров, представленных в таблице. Например, если ввести {ANALYTICS_RULE_NAME}, то в тексте уведомления, настроенном как отправка email, SMS или webhook, будет отражено название правила аналитики, которое сработало. Если заполнить шаблон при настройке действия Создать инцидент, то текст будет отображён в описании инцидента.