Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Dispositivos, o hosts, son los términos habituales que se usan para los sistemas que participan en el evento. El prefijo Dvc se usa para designar el dispositivo primario en el que se produce el evento. Algunos eventos, como las sesiones de red, tienen dispositivos de origen y de destino, designados por el prefijo Src y Dst. En tal caso, el prefijo Dvc se usa para el dispositivo que notifica el evento, que podría ser el dispositivo de origen, de destino o uno de supervisión.
Alias de dispositivo
| Campo | Class | Tipo | Description |
|---|---|---|---|
| Dvc, Src, Dst | Mandatory | String | Los campos Dvc, "Src" o "Dst" se usan como identificador único del dispositivo. Se establece en la mejor opción disponible para el dispositivo. Estos campos pueden dar alias a los campos FQDN, DvcId, Hostname o IpAddr. En el caso de orígenes en la nube, para los que no hay ningún dispositivo aparente, use el valor del campo EventProduct. |
El nombre de dispositivo
Los nombres de dispositivo notificados pueden incluir solo un nombre de host o un nombre de dominio completo (FQDN), que incluye un nombre de host y un nombre de dominio. El FQDN puede expresarse con varios formatos. Los campos siguientes permiten admitir las diferentes variantes en las que se puede proporcionar el nombre de dispositivo.
| Campo | Class | Tipo | Description |
|---|---|---|---|
| Nombre de host | Recommended | Hostname | El nombre de host corto del dispositivo. |
| Dominio | Recommended | String | El dominio del dispositivo en el que se produjo el evento, sin el nombre de host. |
| DomainType | Recommended | Enumerado | El tipo del campo Domain. Los valores admitidos incluyen FQDN y Windows. Este campo es necesario si se utiliza el campo Domain. |
| FQDN | Opcional | String | El FQDN del dispositivo, incluidos los datos de Hostname y Domain. Este campo admite tanto el formato de FQDN tradicional como el formato de dominio o de nombre de host de Windows. El campo DomainType refleja el formato usado. |
Por ejemplo:
| Campo | Valor para la entrada appserver.contoso.com |
valor para la entrada appserver |
|---|---|---|
| Nombre de host | appserver |
appserver |
| Domain | contoso.con |
<vacío> |
| DomainType | FQDN |
<vacío> |
| FQDN | appserver.contoso.com |
<vacío> |
Cuando el valor proporcionado por la fuente es un FQDN, el analizador debe calcular los cuatro valores. Esto también es cierto cuando el valor puede ser un FQDN o un nombre de host corto. Use las funciones auxiliares de ASIM _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN y _ASIM_ResolveDvcFQDN para establecer fácilmente los cuatro campos en función de un único valor de entrada. Para más información, consulte Funciones auxiliares de ASIM.
El identificador del dispositivo y el ámbito
| Campo | Class | Tipo | Description |
|---|---|---|---|
| DvcId | Opcional | String | El ID único del dispositivo. Por ejemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Opcional | String | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. Scope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| Alcance | Opcional | String | Ámbito de la plataforma en la nube al que pertenece el dispositivo. Scope se asigna a una suscripción en Azure y a una cuenta en AWS. |
| DvcIdType | Opcional | Enumerado | Tipo de DvcId. Normalmente, este campo también identifica el tipo de Scope y ScopeId. Este campo es necesario si se usa el campo DvcId. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Opcional | String | Campos usados para almacenar otros IDs de dispositivo, si el evento original incluye múltiples IDs de dispositivo. Seleccione el id. de dispositivo más asociado al evento como el id. principal almacenado en DvcId. |
Los nombres de los campos deben preceder un prefijo de rol como Src o Dst, pero no deben preceder un segundo Dvc prefijo si se usan en ese rol.
Los valores permitidos para un tipo de id. de dispositivo son:
| Tipo | Description |
|---|---|
| MDEid | El Id. de sistema asignado por Microsoft Defender para punto de conexión. |
| AzureResourceId | El Id. de recurso de Azure. |
| MD4IoTid | El Id. de recurso de Microsoft Defender para IoT. |
| VMConnectionId | El Id. de recurso de la solución VM Insights de Azure Monitor. |
| AwsVpcId | Un Id. de AWS VPC. |
| VectraId | Un Id. de recurso asignado a Vectra AI. |
| Otros | Un tipo de identificación no listado. |
Por ejemplo, la solución VM Insights de Azure Monitor proporciona información de sesiones de red en la tabla de VMConnection. La tabla proporciona un Id. de recursos de Azure en el campo _ResourceId y un id. de dispositivo, de uso específico en VM Insights, en el campo Machine. Use las siguientes asignaciones para representar esos Ids.:
| Campo | Asignar a |
|---|---|
| DvcId | El campo Machine de la tabla VMConnection. |
| DvcIdType | El valor VMConnectionId |
| DvcAzureResourceId | El campo _ResourceId de la tabla VMConnection. |
Otros campos de dispositivos
| Campo | Class | Tipo | Description |
|---|---|---|---|
| IpAddr | Recommended | Dirección IP | Dirección IP del dispositivo. Ejemplo: 45.21.42.12 |
| Descripción de Dvc | Opcional | String | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| MacAddr | Opcional | MAC | La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: 00:1B:44:11:3A:B7 |
| Zona | Opcional | String | La red en la que se produjo el evento o en la que se informó del evento, según el esquema. El dispositivo de reporte define la zona. Ejemplo: Dmz |
| DvcOs | Opcional | String | El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: Windows |
| DvcOsVersion | Opcional | String | La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: 10 |
| DvcAction | Opcional | String | Para los sistemas de seguridad de informes, la acción realizada por el sistema, si procede. Ejemplo: Blocked |
| DvcOriginalAction | Opcional | String | El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
| Interfaz | Opcional | String | Interfaz de red en la que se capturaron los datos. Este campo suele ser relevante para la actividad relacionada con la red capturada por un dispositivo intermedio o de contacto. |
Los campos nombrados en la lista con el prefijo Dvc deben preceder un prefijo de rol como Src o Dst, pero no deben preceder un segundo Dvc prefijo si se usan en ese rol.