Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Urządzenia lub hosty są typowymi terminami używanymi dla systemów, które biorą udział w zdarzeniu. Prefiks Dvc służy do wyznaczania urządzenia podstawowego, na którym występuje zdarzenie. Niektóre zdarzenia, takie jak sesje sieciowe, mają urządzenia źródłowe i docelowe wyznaczone przez prefiks Src i Dst. W takim przypadku Dvc prefiks jest używany do raportowania zdarzenia przez urządzenie, które może być źródłem, miejscem docelowym lub urządzeniem monitora.
Aliasy urządzenia
| (No changes needed) | Class | Typ | Description |
|---|---|---|---|
| Dvc, Src, Dst | Mandatory | Sznurek | Pola Dvc, "Src" lub "Dst" są używane jako unikatowy identyfikator urządzenia. Jest ona ustawiona na najlepszą dostępną zidentyfikowaną dla urządzenia. Te pola mogą aliasować pola FQDN, DvcId, Hostname lub IpAddr . W przypadku źródeł w chmurze, dla których nie ma widocznego urządzenia, użyj tej samej wartości co pole Produkt zdarzenia. |
Nazwa urządzenia
Zgłoszone nazwy urządzeń mogą zawierać tylko nazwę hosta lub w pełni kwalifikowaną nazwę domeny (FQDN), która zawiera nazwę hosta i nazwę domeny. Nazwa FQDN może być wyrażona przy użyciu kilku formatów. Poniższe pola umożliwiają obsługę różnych wariantów, w których można podać nazwę urządzenia.
| (No changes needed) | Class | Typ | Description |
|---|---|---|---|
| Nazwa hosta | Zalecane | Hostname | Krótka nazwa hosta urządzenia. |
| Domena | Zalecane | Sznurek | Domena urządzenia, na którym wystąpiło zdarzenie, bez nazwy hosta. |
| Typ domeny | Zalecane | Wyliczony | Typ domeny. Obsługiwane wartości to FQDN i Windows. To pole jest wymagane, jeśli jest używane pole Domena. |
| FQDN | Opcjonalnie | Sznurek | Nazwa FQDN urządzenia, w tym nazwa hosta i domena . To pole obsługuje zarówno tradycyjny format FQDN, jak i format domain\hostname systemu Windows. Pole DomainType odzwierciedla używany format. |
Przykład:
| (No changes needed) | Wartość dla danych wejściowych appserver.contoso.com |
wartość dla danych wejściowych appserver |
|---|---|---|
| Nazwa hosta | appserver |
appserver |
| Domain | contoso.con |
<pusty> |
| Typ domeny | FQDN |
<pusty> |
| FQDN | appserver.contoso.com |
<pusty> |
Gdy wartość dostarczona przez źródło jest FQDN, parser powinien obliczyć cztery wartości. Dotyczy to również sytuacji, gdy wartość może być zarówno i FQDN, jak i nazwa hosta. Użyj funkcji _ASIM_ResolveFQDNpomocnika ASIM , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNi _ASIM_ResolveDvcFQDN , aby łatwo ustawić wszystkie cztery pola na podstawie pojedynczej wartości wejściowej. Aby uzyskać więcej informacji, zobacz Funkcje pomocnika ASIM.
Identyfikator urządzenia i zakres
| (No changes needed) | Class | Typ | Description |
|---|---|---|---|
| DvcId | Opcjonalnie | Sznurek | Unikalny identyfikator urządzenia. Przykład: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| Identyfikator zakresu | Opcjonalnie | Sznurek | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. Zakres mapuje na identyfikator subskrypcji na platformie Azure i na identyfikator konta na platformie AWS. |
| Zakres | Opcjonalnie | Sznurek | Zakres platformy w chmurze, do którego należy urządzenie. Zakres mapuje na subskrypcję na platformie Azure i na konto na platformie AWS. |
| DvcIdType | Opcjonalnie | Wyliczony | Typ DvcId. Zazwyczaj to pole identyfikuje również typ Scope i ScopeId. To pole jest wymagane, jeśli jest używane pole DvcId . |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Opcjonalnie | Sznurek | Pola używane do przechowywania innych identyfikatorów urządzeń, jeśli oryginalne zdarzenie zawiera wiele identyfikatorów urządzeń. Wybierz identyfikator urządzenia najbardziej skojarzony ze zdarzeniem jako identyfikator podstawowy przechowywany w identyfikatorze DvcId. |
Nazwy pól powinny poprzedzać prefiks roli, taki jak Src lub Dst, ale nie powinny wyprzedzać drugiego Dvc prefiksu, jeśli są używane w tej roli.
Dozwolone wartości dla typu identyfikatora urządzenia to:
| Typ | Description |
|---|---|
| Identyfikator MDEid | Identyfikator systemu przypisany przez Ochrona punktu końcowego w usłudze Microsoft Defender. |
| AzureResourceId | Identyfikator zasobu Azure. |
| MD4IoTid | Identyfikator zasobu usługi Microsoft Defender dla IoT. |
| VMConnectionId | Identyfikator zasobu rozwiązania Azure Monitor VM Insights. |
| AwsVpcId | Identyfikator VPC platformy AWS. |
| VectraId | Identyfikator zasobu przypisanego przez Vectra AI. |
| Inne | Typ ID nie jest wymieniony. |
Na przykład rozwiązanie Azure Monitor Tabela zawiera identyfikator zasobu platformy Azure w _ResourceId polu i szczegółowe informacje o maszynie wirtualnej określonego identyfikatora Machine urządzenia w polu. Użyj następującego mapowania, aby reprezentować te identyfikatory:
| (No changes needed) | Mapuj na |
|---|---|
| DvcId | Pole Machine w VMConnection tabeli. |
| DvcIdType | Wartość VMConnectionId |
| DvcAzureResourceId | Pole _ResourceId w VMConnection tabeli. |
Inne dziedziny urządzeń
| (No changes needed) | Class | Typ | Description |
|---|---|---|---|
| IpAddr | Zalecane | adres IP | Adres IP urządzenia. Przykład: 45.21.42.12 |
| Opis Dvc | Opcjonalnie | Sznurek | Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller. |
| MacAddr | Opcjonalnie | MAC | Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: 00:1B:44:11:3A:B7 |
| Strefa | Opcjonalnie | Sznurek | Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. Urządzenie raportujące definiuje strefę. Przykład: Dmz |
| DvcOs | Opcjonalnie | Sznurek | System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: Windows |
| DvcOsVersion | Opcjonalnie | Sznurek | Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: 10 |
| DvcAction | Opcjonalnie | Sznurek | W przypadku systemów zabezpieczeń raportowania akcja podjęta przez system, jeśli ma to zastosowanie. Przykład: Blocked |
| DvcOriginalAction | Opcjonalnie | Sznurek | Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania. |
| Interfejs | Opcjonalnie | Sznurek | Interfejs sieciowy, na którym zostały przechwycone dane. To pole jest zazwyczaj istotne dla działań sieciowych zarejestrowanych przez urządzenie pośrednie lub tap. |
Pola oznaczone w liście prefiksem Dvc powinny poprzedzać prefiks roli, taki jak Src lub Dst, ale nie powinny wyprzedzać drugiego Dvc prefiksu, jeśli są używane w tej roli.