Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Enheder eller værter er de almindelige begreber, der bruges til de systemer, der deltager i begivenheden. Præfikset Dvc bruges til at angive den primære enhed, som hændelsen forekommer på. Nogle hændelser, f.eks. netværkssessioner, har kilde- og destinationsenheder, der er angivet af præfikset Src og Dst. I et sådant tilfælde bruges præfikset Dvc til den enhed, der rapporterer hændelsen, hvilket kan være kilden, destinationen eller en overvågningsenhed.
Enhedens aliasser
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Dvc, Src, Dst | Obligatorisk | String | Felterne Dvc, 'Src' eller 'Dst' bruges som et entydigt id for enheden. Den er indstillet til den bedst tilgængelige identificerede for enheden. Disse felter kan aliasset FQDN, DvcId, Værtsnavn eller IpAddr . I forbindelse med kilder i cloudmiljøet, hvor der ikke er nogen synlig enhed, skal du bruge den samme værdi som feltet Event Product . |
Enhedsnavnet
Rapporterede enhedsnavne kan kun indeholde et værtsnavn eller et fuldt kvalificeret domænenavn (FQDN), som indeholder et værtsnavn og et domænenavn. FQDN kan udtrykkes ved hjælp af flere formater. Følgende felter gør det muligt at understøtte de forskellige varianter, som enhedsnavnet kan angives i.
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Værtsnavn | Anbefalede | Værtsnavn | Enhedens korte værtsnavn. |
| Domæne | Anbefalede | String | Domænet for den enhed, hvor hændelsen fandt sted, uden værtsnavnet. |
| Domænetype | Anbefalede | Optalt | Domænetypen. Understøttede værdier omfatter FQDN og Windows. Dette felt er obligatorisk, hvis feltet Domæne bruges. |
| FQDN | Valgfrit | String | FQDN for enheden, herunder både Værtsnavn og Domæne . Dette felt understøtter både traditionelt FQDN-format og Windows-domæne\værtsnavnformat. Feltet DomainType afspejler det anvendte format. |
Det kan f.eks. være:
| Feltet | Værdi for input appserver.contoso.com |
værdi for input appserver |
|---|---|---|
| Værtsnavn | appserver |
appserver |
| Domæne | contoso.con |
<tom> |
| Domænetype | FQDN |
<tom> |
| FQDN | appserver.contoso.com |
<tom> |
Når den værdi, der leveres af kilden, er et FQDN, skal fortolkeren beregne de fire værdier. Dette gælder også, når værdien kan være enten og FQDN eller et kort værtsnavn. Brug ASIM-hjælpefunktionerne _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNog _ASIM_ResolveDvcFQDN til nemt at angive alle fire felter baseret på en enkelt inputværdi. Du kan finde flere oplysninger under ASIM-hjælpefunktioner.
Enheds-id og område
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| DvcId | Valgfrit | String | Enhedens entydige id. For eksempel: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| Område-id | Valgfrit | String | Det område-id for cloudplatformen, som enheden tilhører. Områdetilknytning til et abonnements-id på Azure og til et konto-id i AWS. |
| Omfanget | Valgfrit | String | Det cloudplatformsområde, som enheden tilhører. Områdekort til et abonnement på Azure og til en konto på AWS. |
| DvcIdType | Valgfrit | Optalt | Typen af DvcId. Dette felt identificerer typisk også typen af Område og Område-id. Dette felt er obligatorisk, hvis feltet DvcId bruges. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Valgfrit | String | Felter, der bruges til at gemme andre enheds-id'er, hvis den oprindelige hændelse indeholder flere enheds-id'er. Vælg det enheds-id, der er mest knyttet til hændelsen, som det primære id, der er gemt i DvcId. |
Feltnavne skal være præpenserede med et rollepræfiks, f.eks Src . eller Dst, men skal ikke være foranstillet med et andet Dvc præfiks, hvis det bruges i den pågældende rolle.
De tilladte værdier for en enheds-id-type er:
| Type | Beskrivelse |
|---|---|
| MDEid | Det system-id, der er tildelt af Microsoft Defender for Endpoint. |
| AzureResourceId | Det Azure ressource-id. |
| MD4IoTid | Microsoft Defender for IoT-ressource-id. |
| VMConnectionId | Ressource-id'et Azure Overvåg VM Insights-løsningen. |
| AwsVpcId | Et VPC-id for AWS. |
| VectraId | Et Vectra AI-tildelt ressource-id. |
| Andet | Der er ikke angivet en id-type. |
Løsningen Azure Monitor VM Insights leverer f.eks. oplysninger om netværkssessioner VMConnectioni . Tabellen indeholder et Azure ressource-id i feltet _ResourceId og et VM-indsigtsspecifikt enheds-id i feltet Machine . Brug følgende tilknytning til at repræsentere disse id'er:
| Feltet | Knyt til |
|---|---|
| DvcId | Feltet Machine i tabellen VMConnection . |
| DvcIdType | Værdien VMConnectionId |
| DvcAzureResourceId | Feltet _ResourceId i tabellen VMConnection . |
Andre enhedsfelter
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| IpAddr | Anbefalede | IP-adresse | Enhedens IP-adresse. Eksempel: 45.21.42.12 |
| DvcDescription | Valgfrit | String | En beskrivende tekst, der er knyttet til enheden. For eksempel: Primary Domain Controller. |
| MacAddr | Valgfrit | MAC | MAC-adressen på den enhed, hvor hændelsen fandt sted, eller som rapporterede hændelsen. Eksempel: 00:1B:44:11:3A:B7 |
| Zone | Valgfrit | String | Netværket, som hændelsen opstod på, eller som rapporterede hændelsen, afhængigt af skemaet. Rapporteringsenheden definerer zonen. Eksempel: Dmz |
| DvcOs | Valgfrit | String | Det operativsystem, der kører på den enhed, hvor hændelsen fandt sted, eller som rapporterede hændelsen. Eksempel: Windows |
| DvcOsVersion | Valgfrit | String | Versionen af operativsystemet på den enhed, hvor hændelsen fandt sted, eller som rapporterede hændelsen. Eksempel: 10 |
| DvcAction | Valgfrit | String | I forbindelse med rapportering af sikkerhedssystemer, den handling, der udføres af systemet, hvis det er relevant. Eksempel: Blocked |
| DvcOriginalAction | Valgfrit | String | Den oprindelige DvcAction , som leveres af rapporteringsenheden. |
| Grænseflade | Valgfrit | String | Den netværksgrænseflade, som dataene blev hentet på. Dette felt er typisk relevant for netværksrelateret aktivitet, der registreres af en mellemliggende enhed eller en trykenhed. |
Felter, der er navngivet på listen med Dvc-præfikset, skal forudindstille et rollepræfiks, f.eks Src . eller Dst, men må ikke foranstille et andet Dvc præfiks, hvis det bruges i den pågældende rolle.