Обогащение по справочнику
Обогащение по справочнику это процесс наполнения событий дополнительной информацией на основе данных локальных справочников.
Пример настройки параметров обогащения по справочнику, при создании правила обогащения, приведен на рисунке 1.
Рисунок 1 – Параметры обогащения по справочнику
Для настройки параметров обогащения выполните следующие действия:
- Выберите поле таксономии, которое будет являться Ключом, по которому будет выполняться обогащение.
- Выберите поле таксономии, которое будет являться Значением, которое будет обогащаться.
- В таблице Справочник значений нажмите кнопку Создать и в соответствующих полях укажите Ключи и Значения которыми будет обогащено событие.
Платформа Радар позволяет вставить справочник значений с помощью JSON. Для этого нажмите кнопку Вставить как JSON и в открывшемся окне укажите справочник значений в соответствующем формате.
Принцип работы: Если в поле таксономии ключа придет значение, которое есть в справочнике, тогда поле таксономии значения, будет обогащено соответствующим значением из справочника.
Пример:
Начальные условия:
- Поле таксономии ключа:
initiator.antivirus.last.quick_scan.source; - Поле таксономии значения:
initiator.antivirus.last.quick_scan.source.
Справочник значений:
| Ключ | Значение |
|---|---|
| 0 | scan didn't run |
| 1 | user initiated |
| 2 | system initiated |
В формате JSON:
[
{
"0": "scan didn't run",
"1": "user initiated",
"2": "system initiated"
}
]
Пример обогащения:
- если при получении нормализованного события поле таксономии
initiator.antivirus.last.quick_scan.source= 1; - то поле
initiator.antivirus.last.quick_scan.sourceбудет обогащено значением user initiated.