Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zařízení neboli hostitelé jsou běžné termíny používané pro systémy, které se události účastní. Předpona Dvc se používá k určení primárního zařízení, na kterém k události dochází. Některé události, například síťové relace, mají zdrojová a cílová zařízení určená předponou Src a Dst. V takovém případě se předpona Dvc použije pro zařízení, které událost hlásí, což může být zdroj, cíl nebo monitorovací zařízení.
Aliasy zařízení
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Dvc, Src, Dst | Povinné | String | Pole Dvc, "Src" nebo "Dst" se používají jako jedinečný identifikátor zařízení. Nastaví se na nejlepší dostupnou hodnotu určenou pro zařízení. Tato pole můžou aliasovat pole FQDN, DvcId, Hostname nebo IpAddr . Pro cloudové zdroje, pro které neexistuje žádné zdánlivé zařízení, použijte stejnou hodnotu jako pole Event Product (Produkt události ). |
Název zařízení
Nahlášené názvy zařízení můžou obsahovat jenom název hostitele nebo plně kvalifikovaný název domény (FQDN), který zahrnuje název hostitele a název domény. Plně kvalifikovaný název domény může být vyjádřen pomocí několika formátů. Následující pole umožňují podporu různých variant, ve kterých může být uvedený název zařízení.
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Hostname | Doporučené | Název hostitele | Krátký název hostitele zařízení. |
| Domény | Doporučené | String | Doména zařízení, na kterém došlo k události, bez názvu hostitele. |
| Typ domény | Doporučené | Výčtové | Typ domény. Mezi podporované hodnoty patří FQDN a Windows. Toto pole je povinné, pokud se používá pole Doména . |
| FQDN | Nepovinný | String | Plně kvalifikovaný název domény zařízení, včetně názvu hostitele a domény . Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát windows doména\název hostitele. Pole DomainType odpovídá použitému formátu. |
Příklady:
| :----- | Hodnota pro vstup appserver.contoso.com |
hodnota pro vstup appserver |
|---|---|---|
| Hostname (Název hostitele) | appserver |
appserver |
| Domain (Doména) | contoso.con |
<Prázdné> |
| Typ domény | FQDN |
<Prázdné> |
| FQDN | appserver.contoso.com |
<Prázdné> |
Pokud je hodnota zadaná zdrojem plně kvalifikovaný název domény, analyzátor by měl vypočítat čtyři hodnoty. To platí také v případě, že hodnota může být a plně kvalifikovaný název domény nebo krátký název hostitele. Pomocí pomocných funkcí _ASIM_ResolveFQDNASIM , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNa _ASIM_ResolveDvcFQDN můžete snadno nastavit všechna čtyři pole na základě jedné vstupní hodnoty. Další informace najdete v tématu Pomocné funkce ASIM.
ID zařízení a obor
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| DvcId | Nepovinný | String | Jedinečné ID zařízení. Například: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| Scopeid | Nepovinný | String | ID oboru cloudové platformy, do které zařízení patří. Mapování oboru na ID předplatného na Azure a na ID účtu v AWS. |
| Rozsah | Nepovinný | String | Rozsah cloudové platformy, do které zařízení patří. Mapování rozsahu na předplatné na Azure a na účet v AWS |
| DvcIdType | Nepovinný | Výčtové | Typ DvcId. Obvykle toto pole také identifikuje typ Rozsah a ScopeId. Toto pole je povinné, pokud se používá pole DvcId . |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Nepovinný | String | Pole používaná k ukládání jiných ID zařízení, pokud původní událost obsahuje více ID zařízení Jako primární ID uložené v DvcId vyberte ID zařízení, které je k události nejvíce přidružené. |
Názvy polí by měly mít předponu role, jako Src je nebo Dst, ale neměly by předcházet druhé Dvc předponě, pokud se v této roli používají.
Povolené hodnoty pro typ ID zařízení jsou:
| Typ | Popis |
|---|---|
| MDEid | ID systému přiřazené Microsoft Defender for Endpoint. |
| Id zdroje Azure | ID prostředku Azure. |
| MD4IoTid | Microsoft Defender ID prostředku IoT. |
| VMConnectionId | ID prostředku řešení Azure Monitorování přehledů virtuálních počítačů |
| AwsVpcId | ID AWS VPC. |
| VectraId | ID prostředku přiřazeného službou Vectra AI. |
| Další | Typ ID není uveden v seznamu. |
Například řešení Azure Monitor VM Insights poskytuje informace o síťových relacích v nástroji VMConnection. V tabulce je v _ResourceId poli Azure ID prostředku a v poli ID zařízení s přehledy Machine virtuálního počítače. K reprezentaci těchto ID použijte následující mapování:
| :----- | Mapovat na |
|---|---|
| DvcId | Pole Machine v tabulce VMConnection |
| DvcIdType | Hodnota VMConnectionId |
| DvcAzureResourceId | Pole _ResourceId v tabulce VMConnection |
Další pole zařízení
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| IpAddr | Doporučené | IP adresa | IP adresa zařízení. Například: 45.21.42.12 |
| Popis dvcDescription | Nepovinný | String | Popisný text přidružený k zařízení Příklad: Primary Domain Controller. |
| MacAddr | Nepovinný | MAC | Adresa MAC zařízení, na kterém došlo k události nebo které událost nahlásilo. Například: 00:1B:44:11:3A:B7 |
| Zóny | Nepovinný | String | Síť, ve které došlo k události nebo která událost ohlásila, v závislosti na schématu. Zařízení pro vytváření sestav definuje zónu. Například: Dmz |
| DvcO | Nepovinný | String | Operační systém spuštěný na zařízení, na kterém došlo k události nebo které událost nahlásilo. Například: Windows |
| DvcOsVersion | Nepovinný | String | Verze operačního systému na zařízení, na kterém došlo k události nebo které událost nahlásilo. Například: 10 |
| Akce DvcAction | Nepovinný | String | Pokud je to možné, v případě hlášení bezpečnostních systémů akce, kterou systém podnikl. Například: Blocked |
| DvcOriginalAction | Nepovinný | String | Původní Akce DvcAction poskytovaná zařízením pro vytváření sestav. |
| Rozhraní | Nepovinný | String | Síťové rozhraní, na kterém se data zachytávají. Toto pole je obvykle relevantní pro aktivitu související se sítí zachycenou zprostředkujícím zařízením nebo klepnutím. |
Pole pojmenovaná v seznamu s předponou Dvc by měla mít předponu role, například Src nebo Dst, ale neměla by předcházet druhé Dvc předponě, pokud se v této roli používá.