Добрый день!
Возможно ли изменять шаблон отчета "перечень инцидентов" к примеру?

добрый день, в принципе возможно, но это не так и просто, прямо скажем.

шаблон редактируется в xml с помощью IDE от FastReport

Всем привет. А есть ли где-то инфа о том в каких полях каких типов событий (хотя бы до уровня event_src.category) можно найти IP, Domain, E-mail, Parent process, Childe process, Parent params, Child params, New registry key, Old registry key?

Вы, конечно, спросите за кейс... а я отвечу за кейс

Нормальный ретро анализ

Думаю, что ты и сам понимаешь, что консолидированной инфы нет.
Т к тот же email/domain блуждает по самым разным полям нормализованного события, а часто даже не нормализуются =|
Если кейс это ретро анализ, то, думаю, что лучше отталкиваться от уже реализованной логики (правил) выявления. Можно сделать как-то так:
1. Выдернуть все нужные правила/фильтры выявления.
2. Сгруппировать их по типам артефактов, которые используются для выявления.
3. В каждом типе пробежаться по каждому правилу и выделить нужные поля нормализованных событий.
4. Очень внимательно смотреть, чтобы эти поля не изменились после обновления системного контента.

ЗЫ
Конечно, КО, но а чего ты ещё ожидал? )

Вот зачем ты так жестоко... я же до конца надеялся, что можно обойтись без вот этого всего  )))

Методика нормализации там какая, вдруг, есть )

Да-да, стандарт по нормализации событий )

Garbage in, garbage out )

Вот просто оперировать только тем, по чему есть правила и фильтры - хороший подход, но с полнотой покрытия будет фигня.

У нас ведь ретроанализ делается сторонней от MP вундервафлей не просто так )))

Получается, что и в текущей схеме правил выявления с полнотой покрытия "фигня" =)

Ну и я бы не забывал, что много кастомщины и в каждой инфре кастом формулы для разных источников.

У нас с этим проще, мы стараемся кастомщины не допускать )

То есть только коробочная нормализация?

Просто своя коробочная нормализация )

А есть методика по написанию своей нормализации? )