디바이스 또는 호스트는 이벤트에 참여하는 시스템에 사용되는 일반적인 용어입니다.
Dvc 접두사는 이벤트가 발생하는 기본 디바이스를 지정하는 데 사용됩니다. 네트워크 세션과 같은 일부 이벤트에는 접두사 Src 및 Dst로 지정된 원본 및 대상 디바이스가 있습니다. 이러한 경우 Dvc 접두사는 원본, 대상 또는 모니터링 디바이스일 수 있는 이벤트를 보고하는 디바이스에 사용됩니다.
디바이스 별칭
| 분야 | 클래스 | 유형 | Description |
|---|---|---|---|
| DVC, SRC, DST | 필수 | String |
Dvc, 'Src' 또는 'Dst' 필드는 디바이스의 고유 식별자로 사용됩니다. 디바이스에 대해 식별할 수 있는 최상의 값으로 설정됩니다. 이러한 필드는 FQDN, DvcId, Hostname 또는 IpAddr 필드의 별칭을 지정할 수 있습니다. 명백한 디바이스가 없는 클라우드 원본의 경우 이벤트 제품 필드와 동일한 값을 사용하세요. |
디바이스 이름
보고된 디바이스 이름에는 호스트 이름만 포함되거나 호스트 이름과 도메인 이름을 포함하는 FQDN(정규화된 도메인 이름)이 포함될 수 있습니다. FQDN은 여러 형식으로 표현될 수 있습니다. 다음 필드를 사용하면 디바이스 이름을 제공할 수 있는 다양한 변형을 지원할 수 있습니다.
| 분야 | 클래스 | 유형 | Description |
|---|---|---|---|
| 호스트 이름 | Recommended | Hostname | 디바이스의 짧은 호스트 이름입니다. |
| 도메인 | Recommended | String | 호스트 이름 없이 이벤트가 발생한 디바이스의 도메인입니다. |
| 도메인 타입 | Recommended | 열거된 |
도메인의 유형입니다. 지원되는 값은 FQDN 및 Windows입니다. 이 필드는 Domain 필드가 사용되는 경우 필수입니다. |
| FQDN | 선택적 | String | 호스트 이름과 도메인을 모두 포함하는 디바이스의 FQDN입니다. 이 필드는 기존 FQDN 형식과 Windows domain\hostname 형식을 모두 지원합니다. DomainType 필드는 사용된 형식을 반영합니다. |
다음은 그 예입니다.
| 분야 | 입력 값 appserver.contoso.com |
입력 값 appserver |
|---|---|---|
| 호스트 이름 | appserver |
appserver |
| Domain | contoso.con |
<비우다> |
| DomainType | FQDN |
<비우다> |
| FQDN | appserver.contoso.com |
<비우다> |
소스가 제공하는 값이 FQDN일 경우, 파서는 네 가지 값을 계산해야 합니다. 값이 FQDN 또는 짧은 호스트네임일 때도 마찬가지입니다. ASIM 도우미 함수 _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN 및 _ASIM_ResolveDvcFQDN을 사용하고 단일 입력 값에 따라 4개의 필드를 모두 쉽게 설정할 수 있습니다. 자세한 내용은 ASIM 도우미 함수를 참조하세요.
디바이스 ID 및 범위
| 분야 | 클래스 | 유형 | Description |
|---|---|---|---|
| DvcID | 선택적 | String | 기기의 고유 ID. 예: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| 스코프ID | 선택적 | String | 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. 범위는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
| 범위 | 선택적 | String | 디바이스가 속한 클라우드 플랫폼 범위입니다. 범위는 Azure의 구독과 AWS의 계정에 매핑됩니다. |
| DvcIdType | 선택적 | 열거된 | DvcId 형식입니다. 일반적으로 이 필드는 Scope 와 ScopeId의 유형을 식별합니다. 이 필드는 DvcId 필드가 사용되는 경우 필수입니다. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | 선택적 | String | 원래 이벤트에 여러 장치 ID가 포함된 경우, 다른 장치 ID를 저장하는 필드입니다. 이벤트와 가장 관련이 있는 디바이스 ID를 DvcId에 저장된 기본 ID로 선택합니다. |
필드 이름은 또는 와 Dst같은 Src 역할 접두사 앞에 붙어야 하지만, 해당 역할에서 사용할 경우 두 번째 Dvc 접두사 앞에 붙어서는 안 됩니다.
디바이스 ID 유형에 허용되는 값은 다음과 같습니다.
| 유형 | Description |
|---|---|
| MDEid | 엔드포인트용 Microsoft Defender 할당된 시스템 ID입니다. |
| AzureResourceId | Azure 리소스 ID. |
| MD4IoTid | Microsoft Defender for IoT 리소스 ID. |
| VMConnectionId | Azure Monitor VM Insights 솔루션 리소스 ID. |
| AwsVpcId | AWS VPC ID. |
| VectraId | Vectra AI 할당 리소스 ID. |
| 기타 | ID 유형은 명시되어 있지 않습니다. |
예를 들어 Azure Monitor VM Insights 솔루션은 VMConnection에서 네트워크 세션 정보를 제공합니다. 이 표에서는 _ResourceId 필드의 Azure 리소스 ID와 Machine 필드의 VM 인사이트 특정 디바이스 ID를 제공합니다. 다음 매핑을 사용하여 해당 ID를 나타냅니다.
| 분야 | 맵 대상 |
|---|---|
| DvcId |
Machine 테이블의 VMConnection 필드입니다. |
| DvcIdType | 값 VMConnectionId |
| DvcAzureResourceId |
_ResourceId 테이블의 VMConnection 필드입니다. |
기타 장치 분야
| 분야 | 클래스 | 유형 | Description |
|---|---|---|---|
| IpAddr | Recommended | IP address | 디바이스의 IP 주소입니다. 예: 45.21.42.12 |
| DVC 설명 | 선택적 | String | 디바이스와 관련된 설명 텍스트입니다. 예: Primary Domain Controller. |
| 맥어드르 | 선택적 | MAC | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 MAC 주소입니다. 예: 00:1B:44:11:3A:B7 |
| 영역 | 선택적 | String | 스키마에 따라 이벤트가 발생했거나 이벤트를 보고한 네트워크입니다. 보고 장치가 존을 정의합니다. 예: Dmz |
| DvcOS | 선택적 | String | 이벤트가 발생했거나 이벤트를 보고한 디바이스에서 실행 중인 운영 체제입니다. 예: Windows |
| DvcOs버전 | 선택적 | String | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 운영 체제 버전입니다. 예: 10 |
| DvcAction | 선택적 | String | 보고 보안 시스템의 경우 해당하는 경우 시스템에서 수행한 작업입니다. 예: Blocked |
| Dvc 오리지널액션 | 선택적 | String | 보고 디바이스에서 제공한 원래 DvcAction입니다. |
| 인터페이스 | 선택적 | String | 데이터가 캡처된 네트워크 인터페이스입니다. 이 필드는 일반적으로 중간 장치 또는 탭 장치에서 캡처된 네트워크 관련 활동과 관련이 있습니다. |
목록에서 Dvc 접두사로 지정된 필드는 또는 Dst와 같은 Src 역할 접두사 앞에 붙어야 하지만, 해당 역할에서 사용할 경우 두 번째 Dvc 접두사 앞에 붙이면 안 됩니다.