Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Dispositivos, ou hosts, são os termos comuns usados para os sistemas que participam do evento. O prefixo Dvc é usado para designar o dispositivo primário no qual o evento ocorre. Alguns eventos, como sessões de rede, têm dispositivos de origem e de destino, designados pelo prefixo Src e Dst. Nesse caso, o prefixo Dvc é usado para o dispositivo relatar o evento, que pode ser a origem, o destino ou um dispositivo de monitoramento.
Os aliases do dispositivo
| Campo | Class | Tipo | Description |
|---|---|---|---|
| Dvc, Src, Dst | Obrigatório | String | Os campos Dvc, "Src" ou "Dst" são usados como um identificador exclusivo do dispositivo. Ele é definido para o melhor disponível identificado para o dispositivo. Esses campos podem alias aos campos FQDN, DvcId, Hostname ou IpAddr. Em origens de nuvem, em que não há nenhum dispositivo aparente, use o mesmo valor que o campo EventProduct. |
O nome do dispositivo
Os nomes de dispositivos relatados podem incluir apenas um nome de host ou um FQDN (nome de domínio totalmente qualificado), que inclui um nome de host e um nome de domínio. O FQDN pode ser expresso usando vários formatos. Os campos a seguir permitem dar suporte a diferentes variantes, nas quais o nome do dispositivo poderá ser fornecido.
| Campo | Class | Tipo | Description |
|---|---|---|---|
| Nome do host | Recommended | Hostname | O nome do host curto do dispositivo. |
| Domínio | Recommended | String | O domínio do dispositivo no qual o evento ocorreu, sem o nome do host. |
| DomainType | Recommended | Enumerado | O tipo do Domínio. Os valores compatíveis incluem FQDN e Windows. Este campo será obrigatório se o campo Domínio for usado. |
| FQDN | Opcional | String | O FQDN do dispositivo, incluindo o Nome do host e o Domínio. Este campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo DomainType reflete o formato usado. |
Por exemplo:
| Campo | Valor para entrada appserver.contoso.com |
valor para entrada appserver |
|---|---|---|
| Nome do host | appserver |
appserver |
| Domain | contoso.con |
<vazio> |
| DomainType | FQDN |
<vazio> |
| FQDN | appserver.contoso.com |
<vazio> |
Quando o valor fornecido pela fonte é um FQDN, o analisador deve calcular os quatro valores. Isso também é verdade quando o valor pode ser um FQDN ou um nome de host curto. Use as funções auxiliares _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN e _ASIM_ResolveDvcFQDN do ASIM e defina facilmente os quatro campos com base em um só valor de entrada. Para saber mais, confira Funções auxiliares do ASIM.
A ID do dispositivo e o escopo
| Campo | Class | Tipo | Description |
|---|---|---|---|
| DvcId | Opcional | String | O ID único do dispositivo. Por exemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do Escopo para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| Escopo | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do Escopo para uma assinatura no Azure e para uma conta na AWS. |
| DvcIdType | Opcional | Enumerado | O tipo de DvcId. Normalmente, esse campo também identifica o tipo de Escopo e Escopo-Ida. Este campo será obrigatório se o campo DvcId for usado. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Opcional | String | Campos usados para armazenar outros IDs de dispositivo, se o evento original incluir múltiplos IDs de dispositivo. Selecione a identificação do dispositivo mais associada ao evento como a ID principal armazenada em DvcId. |
Os nomes dos campos devem anteceder um prefixo de função como Src ou Dst, mas não devem anteceder um segundo Dvc prefixo se usados nesse papel.
Os valores permitidos para um tipo de identificação do dispositivo são:
| Tipo | Description |
|---|---|
| MDEid | A ID do sistema atribuída pelo Microsoft Defender para Ponto de Extremidade. |
| AzureResourceId | A ID do recurso do Azure. |
| MD4IoTid | A ID do recurso do Microsoft Defender para Internet das Coisas. |
| VMConnectionId | A ID do recurso da solução Insights de VM do Azure Monitor. |
| AwsVpcId | Uma ID de VPC do AWS. |
| VectraId | Uma ID de recurso atribuído à IA do Vectra. |
| Outras | Um tipo de identificação não listado. |
Por exemplo, a Solução de Insights de VM do Azure Monitor fornece as informações sobre sessões de rede no VMConnection. A tabela fornece uma ID de recurso do Azure no campo _ResourceId e uma ID de dispositivo específica de Insights de VM no campo Machine. Use o seguinte mapeamento para representar essas IDs:
| Campo | Mapear para |
|---|---|
| DvcId | O campo Machine na tabela VMConnection. |
| DvcIdType | A valor VMConnectionId |
| DvcAzureResourceId | O campo _ResourceId na tabela VMConnection. |
Outros campos de dispositivos
| Campo | Class | Tipo | Description |
|---|---|---|---|
| IpAddr | Recommended | endereço IP | O endereço IP do dispositivo. Exemplo: 45.21.42.12 |
| DvcDescription | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| MacAddr | Opcional | MAC | O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. Exemplo: 00:1B:44:11:3A:B7 |
| Zona | Opcional | String | A rede na qual o evento ocorreu ou que relatou o evento, dependendo do esquema. O dispositivo de reporte define a zona. Exemplo: Dmz |
| DvcOs | Opcional | String | O sistema operacional em execução no dispositivo em que o evento ocorreu ou que relatou o evento. Exemplo: Windows |
| DvcOsVersion | Opcional | String | A versão do sistema operacional do dispositivo em que o evento ocorreu ou que relatou o evento. Exemplo: 10 |
| DvcAction | Opcional | String | Para relatar sistemas de segurança, a ação tomada pelo sistema, se aplicável. Exemplo: Blocked |
| DvcOriginalAction | Opcional | String | A DvcAction original, conforme fornecida pelo dispositivo de relatório. |
| Interface | Opcional | String | A interface de rede em que os dados foram capturados. Esse campo é tipicamente relevante para atividades relacionadas à rede capturadas por um dispositivo intermediário ou tap. |
Campos nomeados na lista com o prefixo Dvc devem anteceder um prefixo de função como Src ou Dst, mas não devem antepender um segundo Dvc prefixo se usados nesse papel.