إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
الأجهزة أو المضيفين هي المصطلحات الشائعة المستخدمة للأنظمة التي تشارك في الحدث. يتم استخدام البادئة Dvc لتعيين الجهاز الأساسي الذي يقع عليه الحدث. تحتوي بعض الأحداث، مثل جلسات عمل الشبكة، على أجهزة المصدر والوجهة، المعينة بواسطة البادئة Src و Dst. في مثل هذه الحالة، يتم استخدام البادئة Dvc للجهاز الذي يبلغ عن الحدث، والذي قد يكون المصدر أو الوجهة أو جهاز مراقبة.
الأسماء المستعارة للجهاز
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| Dvc، Src، Dst | الزاميه | سلسلة |
Dvcيتم استخدام حقول "Src" أو "Dst" كمعرف فريد للجهاز. يتم تعيينه إلى أفضل ما هو متاح تم تحديده للجهاز. يمكن لهذه الحقول الاسم المستعار لحقول FQDN أو DvcId أو Hostname أو IpAddr . بالنسبة لمصادر السحابة، التي لا يوجد جهاز واضح لها، استخدم نفس قيمة حقل Event Product . |
اسم الجهاز
قد تتضمن أسماء الأجهزة المبلغ عنها اسم مضيف فقط، أو اسم مجال مؤهل بالكامل (FQDN)، والذي يتضمن اسم مضيف واسم مجال. قد يتم التعبير عن FQDN باستخدام عدة تنسيقات. تمكن الحقول التالية دعم المتغيرات المختلفة التي قد يتم فيها توفير اسم الجهاز.
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| المضيف | اوصت | المضيف | اسم المضيف القصير للجهاز. |
| المجال | اوصت | سلسلة | مجال الجهاز الذي حدث عليه الحدث، دون اسم المضيف. |
| نوع المجال | اوصت | تعداد | نوع المجال. تتضمن FQDN القيم المدعومة و Windows. هذا الحقل مطلوب إذا تم استخدام حقل المجال . |
| Fqdn | اختياري | سلسلة | FQDN للجهاز بما في ذلك كل من اسم المضيفوالمجال . يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق مجال Windows\اسم المضيف. يعكس حقل DomainType التنسيق المستخدم. |
على سبيل المثال:
| الميدان | قيمة الإدخال appserver.contoso.com |
قيمة للإدخل appserver |
|---|---|---|
| المضيف | appserver |
appserver |
| المجال | contoso.con |
<فارغه> |
| نوع المجال | FQDN |
<فارغه> |
| Fqdn | appserver.contoso.com |
<فارغه> |
عندما تكون القيمة التي يوفرها المصدر هي FQDN، يجب على المحلل حساب القيم الأربع. هذا صحيح أيضا عندما تكون القيمة إما وFQDN أو اسم مضيف قصير. استخدم دالات _ASIM_ResolveFQDNمساعد ASIM و _ASIM_ResolveSrcFQDN_ASIM_ResolveDstFQDNو و _ASIM_ResolveDvcFQDN لتعيين جميع الحقول الأربعة بسهولة استنادا إلى قيمة إدخال واحدة. لمزيد من المعلومات، راجع وظائف مساعد ASIM.
معرف الجهاز ونطاقه
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| معرف Dvc | اختياري | سلسلة | المعرف الفريد للجهاز. على سبيل المثال: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| Scopeid | اختياري | سلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين النطاق إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| نطاق | اختياري | سلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. تعيين النطاق إلى اشتراك على Azure وإلى حساب على AWS. |
| DvcIdType | اختياري | تعداد | نوع DvcId. عادة ما يعرف هذا الحقل أيضا نوع Scope و ScopeId. هذا الحقل مطلوب إذا تم استخدام الحقل DvcId . |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | اختياري | سلسلة | الحقول المستخدمة لتخزين معرفات الأجهزة الأخرى، إذا كان الحدث الأصلي يتضمن معرفات أجهزة متعددة. حدد معرف الجهاز الأكثر ارتباطا بالحدث كمعرف أساسي مخزن في DvcId. |
يجب أن تقوم أسماء الحقول ببادئة دور مثل Src أو Dst، ولكن يجب عدم إلحاق بادئة ثانية Dvc إذا تم استخدامها في هذا الدور.
القيم المسموح بها لنوع معرف الجهاز هي:
| النوع | الوصف |
|---|---|
| MDEid | معرف النظام المعين من قبل Microsoft Defender لنقطة النهاية. |
| AzureResourceId | معرف مورد Azure. |
| MD4IoTid | Microsoft Defender لمعرف مورد IoT. |
| VMConnectionId | معرف مورد حل Azure Monitor VM Insights. |
| AwsVpcId | معرف AWS VPC. |
| معرف Vectra | معرف مورد مخصص ل Vectra AI. |
| الاخري | نوع المعرف غير مدرج. |
على سبيل المثال، يوفر حل Azure Monitor VM Insights معلومات جلسات عمل الشبكة في VMConnection. يوفر الجدول معرف مورد Azure في _ResourceId الحقل ومعرف جهاز محدد لنتائج تحليلات الجهاز الظاهري في Machine الحقل. استخدم التعيين التالي لتمثيل هذه المعرفات:
| الميدان | تعيين إلى |
|---|---|
| معرف Dvc |
Machine الحقل في VMConnection الجدول. |
| DvcIdType | القيمة VMConnectionId |
| DvcAzureResourceId |
_ResourceId الحقل في VMConnection الجدول. |
حقول الأجهزة الأخرى
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| IpAddr | اوصت | عنوان IP | عنوان IP للجهاز. على سبيل المثال: 45.21.42.12 |
| DvcDescription | اختياري | سلسلة | نص وصفي مقترن بالجهاز. على سبيل المثال: Primary Domain Controller. |
| MacAddr | اختياري | ماك | عنوان MAC للجهاز الذي حدث عليه الحدث أو الذي أبلغ عن الحدث. على سبيل المثال: 00:1B:44:11:3A:B7 |
| المنطقه | اختياري | سلسلة | الشبكة التي وقع عليها الحدث أو التي أبلغت عن الحدث، اعتمادا على المخطط. يحدد جهاز إعداد التقارير المنطقة. على سبيل المثال: Dmz |
| DvcOs | اختياري | سلسلة | نظام التشغيل الذي يعمل على الجهاز الذي وقع عليه الحدث أو الذي أبلغ عن الحدث. على سبيل المثال: Windows |
| DvcOsVersion | اختياري | سلسلة | إصدار نظام التشغيل على الجهاز الذي حدث عليه الحدث أو الذي أبلغ عن الحدث. على سبيل المثال: 10 |
| DvcAction | اختياري | سلسلة | للإبلاغ عن أنظمة الأمان، الإجراء الذي يتخذه النظام، إن أمكن. على سبيل المثال: Blocked |
| DvcOriginalAction | اختياري | سلسلة | DvcAction الأصلي كما هو مقدم من جهاز إعداد التقارير. |
| واجهه | اختياري | سلسلة | واجهة الشبكة التي تم التقاط البيانات عليها. عادة ما يكون هذا الحقل مناسبا للنشاط المرتبط بالشبكة الذي تم التقاطه بواسطة جهاز وسيط أو اضغط عليه. |
يجب أن تقوم الحقول المسماة في القائمة ذات بادئة Dvc ببادئة دور مثل Src أو Dst، ولكن يجب ألا تسبق بادئة ثانية Dvc إذا تم استخدامها في هذا الدور.