Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Geräte oder Hosts sind die allgemeinen Begriffe, die für die Systeme verwendet werden, die an dem Ereignis teilnehmen. Das Dvc Präfix wird verwendet, um das primäre Gerät anzugeben, auf dem das Ereignis auftritt. Einige Ereignisse, z. B. Netzwerksitzungen, verfügen über Quell- und Zielgeräte, die durch das Präfix Src und Dstgekennzeichnet sind. In einem solchen Fall wird das Dvc Präfix für das Gerät verwendet, das das Ereignis meldet, bei dem es sich um die Quelle, das Ziel oder ein Überwachungsgerät handeln kann.
Die Gerätealiase
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Dvc, Src, Dst | Erforderlich | Zeichenfolge | Die DvcFelder , "Src" oder "Dst" werden als eindeutiger Bezeichner des Geräts verwendet. Sie ist auf die für das Gerät am besten verfügbare Option festgelegt. Diese Felder können ein Alias für die Felder FQDN, DvcId, Hostname oder IpAddr sein. Verwenden Sie für Cloudquellen, für die kein offensichtliches Gerät vorhanden ist, denselben Wert wie im Feld Ereignisprodukt . |
Der Gerätename
Gemeldete Gerätenamen können nur einen Hostnamen oder einen vollqualifizierten Domänennamen (FQDN) enthalten, der einen Hostnamen und einen Domänennamen enthält. Der FQDN kann in verschiedenen Formaten ausgedrückt werden. Die folgenden Felder ermöglichen die Unterstützung der verschiedenen Varianten, in denen der Gerätename angegeben werden kann.
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| Hostname | Empfohlen | Hostname | Der kurze Hostname des Geräts. |
| Domäne | Empfohlen | Zeichenfolge | Die Domäne des Geräts, auf dem das Ereignis aufgetreten ist, ohne den Hostnamen. |
| DomainType | Empfohlen | Aufgelistet | Der Typ der Domäne. Unterstützte Werte sind und FQDNWindows. Dieses Feld ist erforderlich, wenn das Feld Domäne verwendet wird. |
| FQDN | Optional | Zeichenfolge | Der FQDN des Geräts, einschließlich Hostname und Domäne . Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Domänen-/Hostnamenformat. Das Feld DomainType gibt das verwendete Format an. |
Zum Beispiel:
| Feld | Wert für die Eingabe appserver.contoso.com |
Wert für die Eingabe appserver |
|---|---|---|
| Hostname | appserver |
appserver |
| Domäne | contoso.con |
<Leer> |
| DomainType | FQDN |
<Leer> |
| FQDN | appserver.contoso.com |
<Leer> |
Wenn der von der Quelle bereitgestellte Wert ein FQDN ist, sollte der Parser die vier Werte berechnen. Dies gilt auch, wenn der Wert entweder und der FQDN oder ein kurzer Hostname sein kann. Verwenden Sie die ASIM-Hilfsfunktionen _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNund _ASIM_ResolveDvcFQDN , um alle vier Felder ganz einfach basierend auf einem einzelnen Eingabewert festzulegen. Weitere Informationen finden Sie unter ASIM-Hilfsfunktionen.
Die Geräte-ID und der Bereich
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| DvcId | Optional | Zeichenfolge | Die eindeutige ID des Geräts. Beispiel: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| Scopeid | Optional | Zeichenfolge | Die Bereichs-ID der Cloudplattform, zu der das Gerät gehört. Der Bereich wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| Umfang | Optional | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. Der Bereich wird einem Abonnement auf Azure und einem Konto in AWS zugeordnet. |
| DvcIdType | Optional | Aufgelistet | Der Typ von DvcId. In der Regel identifiziert dieses Feld auch den Typ von Scope und ScopeId. Dieses Feld ist erforderlich, wenn das Feld DvcId verwendet wird. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Optional | Zeichenfolge | Felder, die zum Speichern anderer Geräte-IDs verwendet werden, wenn das ursprüngliche Ereignis mehrere Geräte-IDs enthält. Wählen Sie die Geräte-ID aus, die dem Ereignis am häufigsten als primäre ID zugeordnet ist, die in DvcId gespeichert ist. |
Feldernamen sollten einem Rollenpräfix wie Src oder Dstvorangestellt werden, aber kein zweites Dvc Präfix voranstellen, wenn es in dieser Rolle verwendet wird.
Die zulässigen Werte für einen Geräte-ID-Typ sind:
| Typ | Beschreibung |
|---|---|
| MDEid | Die von Microsoft Defender for Endpoint zugewiesene System-ID. |
| AzureResourceId | Die Azure-Ressourcen-ID. |
| MD4IoTid | Die Microsoft Defender für IoT-Ressourcen-ID. |
| VMConnectionId | Die ressourcen-ID der Azure Überwachen der VM Insights-Lösung. |
| AwsVpcId | Eine AWS VPC-ID. |
| VectraId | Eine Vectra KI zugewiesene Ressourcen-ID. |
| Other | Ein ID-Typ, der nicht aufgeführt ist. |
Beispielsweise stellt die lösung Azure Monitor VM Insights Netzwerksitzungsinformationen im bereitVMConnection. Die Tabelle enthält eine Azure Ressourcen-ID im _ResourceId Feld und eine SPEZIFISCHE VM Insights-Geräte-ID im Machine Feld. Verwenden Sie die folgende Zuordnung, um diese IDs darzustellen:
| Feld | Zuordnen zu |
|---|---|
| DvcId | Das Machine Feld in der VMConnection Tabelle. |
| DvcIdType | Der Wert VMConnectionId |
| DvcAzureResourceId | Das _ResourceId Feld in der VMConnection Tabelle. |
Andere Gerätefelder
| Feld | Class | Typ | Beschreibung |
|---|---|---|---|
| IpAddr | Empfohlen | IP-Adresse | Die IP-Adresse des Geräts. Beispiel: 45.21.42.12 |
| DvcDescription | Optional | Zeichenfolge | Ein beschreibender Text, der dem Gerät zugeordnet ist. Beispiel: Primary Domain Controller. |
| MacAddr | Optional | MAC | Die MAC-Adresse des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. Beispiel: 00:1B:44:11:3A:B7 |
| Zone | Optional | Zeichenfolge | Das Netzwerk, in dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat, je nach Schema. Das Berichterstellungsgerät definiert die Zone. Beispiel: Dmz |
| DvcOs | Optional | Zeichenfolge | Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. Beispiel: Windows |
| DvcOsVersion | Optional | Zeichenfolge | Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. Beispiel: 10 |
| DvcAction | Optional | Zeichenfolge | Für die Meldung von Sicherheitssystemen die vom System ausgeführte Aktion, falls zutreffend. Beispiel: Blocked |
| DvcOriginalAction | Optional | Zeichenfolge | Die ursprüngliche DvcAction , die vom Melden des Geräts bereitgestellt wird. |
| Schnittstelle | Optional | Zeichenfolge | Die Netzwerkschnittstelle, auf der Daten erfasst wurden. Dieses Feld ist in der Regel für netzwerkbezogene Aktivitäten relevant, die von einem Zwischen- oder Tippgerät erfasst werden. |
Felder, die in der Liste mit dem Dvc-Präfix benannt sind, sollten ein Rollenpräfix wie Src oder Dstvoranstellen, aber kein zweites Dvc Präfix voranstellen, wenn es in dieser Rolle verwendet wird.