Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Geräte oder Hosts sind die allgemeinen Begriffe, die für die Systeme verwendet werden, die an dem Ereignis beteiligt sind. Das Präfix Dvc wird verwendet, um das primäre Gerät festzulegen, auf dem das Ereignis erfolgt. Einige Ereignisse, wie z. B. Netzwerksitzungen, verfügen über Quell- und Zielgeräte, die durch die Präfixe Src und Dst bestimmt sind. In diesem Fall wird das Präfix Dvc für das Gerät verwendet, das das Ereignis meldet. Dies kann die Quelle, das Ziel oder ein Überwachungsgerät sein.
Die Gerätealiase.
| Feld | Class | Typ | Description |
|---|---|---|---|
| Dvc, Src, Dst | Obligatorisch. | String | Die Felder Dvc, „Src“ oder „Dst“ werden als eindeutiger Bezeichner des Geräts verwendet. Er ist auf die besten für das Gerät verfügbaren Bezeichner festgelegt. Diese Felder können als Alias für die Felder FQDN, DvcId, Hostname oder IpAddr verwendet werden. Verwenden Sie für Cloudquellen, für die es kein offensichtliches Gerät gibt, den gleichen Wert wie im Feld Ereignisprodukt. |
Der Gerätename
Gemeldete Gerätenamen können nur einen Hostnamen oder einen vollqualifizierten Domänennamen (FQDN) enthalten, der einen Hostnamen und einen Domänennamen enthält. Der FQDN kann mithilfe mehrerer Formate ausgedrückt werden. In den folgenden Feldern werden die verschiedenen Varianten unterstützt, in denen der Gerätename angegeben werden kann.
| Feld | Class | Typ | Description |
|---|---|---|---|
| Hostname | Recommended | Rechnername | Der kurze Hostname des Geräts. |
| Domäne | Recommended | String | Die Domäne des Geräts, auf dem das Ereignis aufgetreten ist, ohne den Hostnamen. |
| DomainType | Recommended | Aufgezählt | Der Typ der Domäne. Unterstützte Werte: FQDN und Windows. Dieses Feld ist erforderlich, wenn das Feld Domain verwendet wird. |
| FQDN | Wahlfrei | String | Der FQDN des Geräts, einschließlich Hostname und Domäne. Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld DomainType spiegelt das verwendete Format wider. |
Beispiel:
| Feld | Wert für Eingabe appserver.contoso.com |
Wert für Eingabe appserver |
|---|---|---|
| Hostname | appserver |
appserver |
| Domain | contoso.con |
<leer> |
| DomainType | FQDN |
<leer> |
| FQDN | appserver.contoso.com |
<leer> |
Wenn der vom Quelle bereitgestellte Wert ein FQDN ist, sollte der Parser die vier Werte berechnen. Dies gilt auch, wenn der Wert entweder ein FQDN oder ein kurzer Hostname sein kann. Verwenden Sie die ASIM-Hilfsfunktionen_ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN und _ASIM_ResolveDvcFQDN, um einfach alle vier Felder basierend auf einem einzelnen Eingabewert festzulegen. Weitere Informationen finden Sie unter ASIM- Hilfsfunktionen.
Die Geräte-ID und der Gerätebereich.
| Feld | Class | Typ | Description |
|---|---|---|---|
| DvcId | Wahlfrei | String | Die eindeutige ID des Geräts. Beispiel: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Wahlfrei | String | Die Bereichs-ID der Cloudplattform, zu dem das Gerät gehört. Scope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| Umfang | Wahlfrei | String | Der Cloudplattformbereich, zu dem das Gerät gehört. Scope wird einem Abonnement in Azure und einem Konto in AWS zugeordnet. |
| DvcIdType | Wahlfrei | Aufgezählt | Der Typ von DvcId. Typischerweise identifiziert dieses Feld auch den Typ von Scope und ScopeId. Dieses Feld ist ein Pflichtfeld, wenn das Feld Dvcld verwendet wird. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Wahlfrei | String | Felder, die zur Speicherung anderer Geräte-IDs verwendet werden, wenn das ursprüngliche Ereignis mehrere Geräte-IDs enthält. Wählen Sie die ID, die dem Ereignis am häufigsten zugeordnet ist, als primäre ID aus, die in Dvcld gespeichert ist. |
Feldnamen sollten ein Rollenpräfix wie Src oder Dstvorangehen, aber kein zweites Dvc Präfix, wenn es in dieser Rolle verwendet wird.
Die zulässigen Werte für einen Geräte-ID-Typ sind:
| Typ | Description |
|---|---|
| MDEid | Die für den Endpunkt von Microsoft Defender zugewiesene System-ID. |
| AzureResourceId | Die Azure-Ressourcen-ID. |
| MD4IoTid | Die Microsoft Defender für IoT-Ressourcen-ID. |
| VMConnectionId | Die AZURE Monitor-VM Insights Lösungsressourcen-ID. |
| AwsVpcId | Eine AWS VPC-ID. |
| VectraId | Eine Vectra AI zugewiesene Ressourcen-ID. |
| Andere | Ein Ausweistyp, der nicht angegeben ist. |
Beispielsweise stellt die VM Insights-Lösung von Azure Monitor Netzwerksitzungsinformationen in der VMConnection bereit. Die Tabelle stellt eine Azure-Ressourcen-ID im Feld _ResourceId und eine spezielle VM Insights-Geräte-ID im Feld Machine bereit. Verwenden Sie die folgende Zuordnung, um diese IDs darzustellen:
| Feld | Zuordnen zu |
|---|---|
| DvcId | Das Feld Machine in der Tabelle VMConnection. |
| DvcIdType | Der VMConnectionId-Wert |
| DvcAzureResourceId | Das Feld _ResourceId in der Tabelle VMConnection. |
Weitere Gerätefelder
| Feld | Class | Typ | Description |
|---|---|---|---|
| IpAddr | Recommended | IP-Adresse | Die IP-Adresse des Geräts Beispiel: 45.21.42.12 |
| DvcDescription | Wahlfrei | String | Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller. |
| MacAddr | Wahlfrei | MAC | Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: 00:1B:44:11:3A:B7 |
| Zone | Wahlfrei | String | Je nach Schema ist dies das Netzwerk, in dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Das Berichtsgerät definiert die Zone. Beispiel: Dmz |
| DvcOs | Wahlfrei | String | Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: Windows |
| DvcOsVersion | Wahlfrei | String | Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. Beispiel: 10 |
| DvcAction | Wahlfrei | String | Bei meldenden Sicherheitssystemen ist dies die vom System ausgeführte Aktion (falls zutreffend). Beispiel: Blocked |
| DvcOriginalAction | Wahlfrei | String | Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben. |
| Schnittstelle | Wahlfrei | String | Die Netzwerkschnittstelle, über die Daten erfasst wurden. Dieses Feld ist typischerweise relevant für netzwerkbezogene Aktivitäten, die von einem Zwischen- oder Tap-Gerät erfasst werden. |
Felder, die in der Liste mit dem Dvc-Präfix benannt sind, sollten ein Rollenpräfix wie Src oder Dstvoranstellen, aber kein zweites Dvc Präfix, wenn es in dieser Rolle verwendet wird.