Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zařízení nebo hostitelé jsou běžné termíny používané pro systémy, které se účastní události. Předpona Dvc slouží k určení primárního zařízení, na kterém k události dochází. Některé události, například síťové relace, mají zdrojová a cílová zařízení určená předponou Src a Dst. V takovém případě se předpona používá pro zařízení, Dvc které hlásí událost, což může být zdroj, cíl nebo monitorovací zařízení.
Aliasy zařízení
| Obor | Class | Typ | Description |
|---|---|---|---|
| Dvc, Src, Dst | Povinné | String | Pole Dvc, Src nebo Dst se používají jako jedinečný identifikátor zařízení. Je nastavená na nejlepší dostupnou verzi určenou pro dané zařízení. Tato pole mohou aliasovat pole plně kvalifikovaný název domény, DvcId, název hostitele nebo IpAddr . Pro cloudové zdroje, pro které není zřejmé zařízení, použijte stejnou hodnotu jako pole Produkt události. |
Název zařízení
Nahlášené názvy zařízení můžou obsahovat jenom název hostitele nebo plně kvalifikovaný název domény ( FQDN), který zahrnuje název hostitele a název domény. Plně kvalifikovaný název domény se může vyjádřit pomocí několika formátů. Následující pole umožňují podporovat různé varianty, ve kterých může být uveden název zařízení.
| Obor | Class | Typ | Description |
|---|---|---|---|
| Název hostitele | Doporučeno | Hostname | Krátký název hostitele zařízení. |
| Doména | Doporučeno | String | Doména zařízení, na kterém došlo k události, bez názvu hostitele. |
| DomainType | Doporučeno | Vyjmenováno | Typ domény. Podporované hodnoty zahrnují FQDN a Windows. Toto pole je povinné, pokud se použije pole Doména . |
| FQDN | Volitelný | String | Plně kvalifikovaný název domény zařízení, včetně názvu hostitele i domény . Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát domény Systému Windows\název_hostitele. Pole DomainType odráží použitý formát. |
Například:
| Obor | Hodnota pro vstup appserver.contoso.com |
hodnota pro vstup appserver |
|---|---|---|
| Název hostitele | appserver |
appserver |
| Domain | contoso.con |
<prázdný> |
| DomainType | FQDN |
<prázdný> |
| FQDN | appserver.contoso.com |
<prázdný> |
Pokud je hodnota poskytovaná zdrojem FQDN, měl by parser vypočítat čtyři hodnoty. To platí i tehdy, když hodnota může být buď a FQDN, nebo krátké hostitelské jméno. Pomocí pomocných funkcí _ASIM_ResolveFQDNASIM , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNa _ASIM_ResolveDvcFQDN snadno nastavit všechna čtyři pole na základě jedné vstupní hodnoty. Další informace naleznete v tématu Pomocné funkce ASIM.
ID a rozsah zařízení
| Obor | Class | Typ | Description |
|---|---|---|---|
| DvcId | Volitelný | String | Unikátní ID zařízení. Příklad: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Volitelný | String | ID oboru cloudové platformy, do které zařízení patří. Mapování rozsahu na ID předplatného v Azure a ID účtu v AWS |
| Rozsah | Volitelný | String | Rozsah cloudové platformy, do které zařízení patří. Mapování rozsahu na předplatné v Azure a na účet v AWS |
| DvcIdType | Volitelný | Vyjmenováno | Typ DvcId. Obvykle toto pole také identifikuje typ Scope a ScopeId. Toto pole se vyžaduje, pokud se použije pole DvcId . |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Volitelný | String | Pole používaná k ukládání dalších ID zařízení, pokud původní událost obsahuje více ID zařízení. Jako primární ID uložené v DvcId vyberte ID zařízení, které je přidruženo k události. |
Názvy polí by měly předcházet předponu role, například nebo SrcDst, ale neměly by předcházet druhou Dvc předponu, pokud jsou v této roli použity.
Povolené hodnoty pro typ ID zařízení jsou:
| Typ | Description |
|---|---|
| MDEid | ID systému přiřazené programem Microsoft Defender for Endpoint. |
| AzureResourceId | ID prostředku Azure. |
| MD4IoTid | ID prostředku Microsoft Defenderu pro IoT |
| VMConnectionId | ID prostředku řešení Azure Monitor VM Insights |
| AwsVpcId | ID AWS VPC. |
| VectraId | ID prostředku přiřazeného vectra AI |
| Ostatní | Typ ID není uveden. |
Například řešení Azure Monitor VM Insights poskytuje informace o síťových relacích v nástroji VMConnection. Tabulka obsahuje ID prostředku Azure v _ResourceId poli a id konkrétního zařízení virtuálního počítače v Machine tomto poli. K reprezentaci těchto ID použijte následující mapování:
| Obor | Mapovat na |
|---|---|
| DvcId | Pole Machine v VMConnection tabulce. |
| DvcIdType | Hodnota VMConnectionId |
| DvcAzureResourceId | Pole _ResourceId v VMConnection tabulce. |
Další zařízení pole
| Obor | Class | Typ | Description |
|---|---|---|---|
| IpAddr | Doporučeno | adresa IP | IP adresa zařízení. Příklad: 45.21.42.12 |
| Popis dvcDescription | Volitelný | String | Popisný text přidružený k zařízení Například: Primary Domain Controller. |
| MacAddr | Volitelný | GUMÁK | Adresa MAC zařízení, na kterém došlo k události nebo která událost nahlásila. Příklad: 00:1B:44:11:3A:B7 |
| Zóna | Volitelný | String | Síť, na které došlo k události nebo která událost hlásila, v závislosti na schématu. Hlásící zařízení definuje zónu. Příklad: Dmz |
| DvcOs | Volitelný | String | Operační systém spuštěný na zařízení, na kterém došlo k události nebo na kterém byla událost hlášena. Příklad: Windows |
| DvcOsVersion | Volitelný | String | Verze operačního systému v zařízení, na kterém došlo k události nebo která ohlásila událost. Příklad: 10 |
| DvcAction | Volitelný | String | U systémů zabezpečení pro vytváření sestav opatření, která systém provedl, pokud je to možné. Příklad: Blocked |
| DvcOriginalAction | Volitelný | String | Původní DvcAction , jak poskytuje zařízení pro generování sestav. |
| Rozhraní | Volitelný | String | Síťové rozhraní, na kterém byla zaznamenána data. Toto pole je obvykle relevantní pro síťovou aktivitu zachycenou mezistupněm nebo tapovým zařízením. |
Pole pojmenovaná v seznamu s předponou Dvc by měla předcházet předponu role jako Src nebo Dst, ale neměla by předcházet druhou Dvc předponu, pokud se v této roli použije.