Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les appareils ou les hôtes sont les termes courants utilisés pour les systèmes qui participent à l’événement. Le préfixe Dvc est utilisé pour désigner l’appareil principal sur lequel l’événement se produit. Certains événements, tels que les sessions réseau, ont des appareils source et de destination, désignés par les préfixes Src et Dst. Dans ce cas, le préfixe Dvc est utilisé pour l’appareil signalant l’événement, qui peut être la source, la destination ou un appareil de surveillance.
Les alias de l’appareil
| Terrain | classe | Type | Descriptif |
|---|---|---|---|
| Dvc, Src, Dst | Obligatoire | Chaîne | Les champs Dvc, Src ou Dst sont utilisés comme identificateur unique de l’appareil. Il est défini sur le meilleur identificateur disponible pour l’appareil. Ces champs peuvent remplacer les champs FQDN, DvcId, Hostname ou IpAddr. Pour les sources cloud pour lesquelles il n’y a pas d’appareil apparent, utilisez la même valeur que celle du champ Event Product. |
Le nom de l’appareil
Les noms d’appareils signalés peuvent inclure un nom d’hôte uniquement ou un nom de domaine complet qui comprend un nom d’hôte et un nom de domaine. Le nom de domaine complet peut être exprimé selon plusieurs formats. Les champs suivants permettent de prendre en charge les différentes variantes dans lesquelles le nom de l’appareil peut être fourni.
| Terrain | classe | Type | Descriptif |
|---|---|---|---|
| Nom d’hôte | Recommended | Hostname | Nom d’hôte court de l’appareil. |
| Domaine | Recommended | Chaîne | Domaine de l’appareil sur lequel l’événement s’est produit, sans nom d’hôte. |
| DomainType | Recommended | Énuméré | Type de Domain. Les valeurs FQDN et Windows sont prises en charge. Ce champ est obligatoire si le champ Domain est utilisé. |
| FQDN | Optional | Chaîne | Nom de domaine complet de l’appareil, avec nom d’hôte et domaine. Ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ DomainType reflète le format utilisé. |
Par exemple:
| Terrain | Valeur de l’entrée appserver.contoso.com |
Valeur de l’entrée appserver |
|---|---|---|
| Nom d’hôte | appserver |
appserver |
| Domain | contoso.con |
<vide> |
| DomainType | FQDN |
<vide> |
| FQDN | appserver.contoso.com |
<vide> |
Lorsque la valeur fournie par la source est un FQDN, l’analyseur doit calculer les quatre valeurs. Cela est également vrai lorsque la valeur peut être soit un FQDN, soit un nom d’hôte court. Utilisez les fonctions d’assistance ASIM _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN et _ASIM_ResolveDvcFQDN pour définir facilement les quatre champs en fonction d’une seule valeur d’entrée. Pour plus d’informations, consultez Fonctions d’assistance ASIM.
L’ID et l’étendue de l’appareil
| Terrain | classe | Type | Descriptif |
|---|---|---|---|
| DvcId | Optional | Chaîne | L’identifiant unique de l’appareil. Par exemple : 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Optional | Chaîne | ID d’étendue de la plateforme cloud à laquelle appartient l’appareil. Scope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| Étendue | Optional | Chaîne | Étendue de la plateforme cloud à laquelle appartient l’appareil. Scope correspond à un abonnement sur Azure et à un compte sur AWS. |
| DvcIdType | Optional | Énuméré | Type de DvcId. Typiquement, ce champ identifie également le type de Scope et ScopeId. Ce champ est obligatoire si le champ Dvcld est utilisé. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Optional | Chaîne | Champs utilisés pour stocker d’autres identifiants de périphérique, si l’événement initial inclut plusieurs identifiants de périphérique. Sélectionnez l’ID d’appareil le plus souvent associé à l’événement en tant qu’ID principal stocké dans DvcId. |
Les noms des champs doivent prépender un préfixe de rôle tel que Src ou Dst, mais ne doivent pas prépender un second Dvc préfixe s’ils sont utilisés dans ce rôle.
Les valeurs autorisées pour un type d’ID d’utilisateur sont les suivantes :
| Type | Descriptif |
|---|---|
| MDEid | ID système affecté par Microsoft Defender pour point de terminaison. |
| AzureResourceId | ID de ressource Azure. |
| MD4IoTid | ID de ressource Microsoft Defender pour IoT. |
| VMConnectionId | ID de ressource de la solution Informations machine virtuelle Azure Monitor. |
| AwsVpcId | ID AWS VPC. |
| VectraId | ID de ressource affecté par l’IA Vectra. |
| Autres | Un type d’identification non indiqué. |
Par exemple, la solution Informations de machine virtuelle Azure Monitor fournit des informations sur les sessions réseau dans le VMConnection. Ce tableau fournit un ID de ressource Azure dans le champ _ResourceId et un ID d’appareil spécifique à VM Insights dans le champ Machine. Utilisez le mappage suivant pour représenter ces ID :
| Terrain | Mapper à |
|---|---|
| DvcId | Champ Machine du tableau VMConnection. |
| DvcIdType | Valeur VMConnectionId |
| DvcAzureResourceId | Champ _ResourceId du tableau VMConnection. |
Autres domaines de dispositifs
| Terrain | classe | Type | Descriptif |
|---|---|---|---|
| IpAddr | Recommended | adresse IP | Adresse IP de l’appareil. Exemple : 45.21.42.12 |
| DvcDescription | Optional | Chaîne | Obtient le texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| MacAddr | Optional | MAC | L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. Exemple : 00:1B:44:11:3A:B7 |
| Zone | Optional | Chaîne | Le réseau sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. Le dispositif de rapport définit la zone. Exemple : Dmz |
| DvcOs | Optional | Chaîne | Le système d’exploitation exécuté sur le dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. Exemple : Windows |
| DvcOsVersion | Optional | Chaîne | La version du système d’exploitation du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. Exemple : 10 |
| DvcAction | Optional | Chaîne | Pour les systèmes de sécurité déclarés, l'action prise par le système, le cas échéant. Exemple : Blocked |
| DvcOriginalAction | Optional | Chaîne | Le DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| Interface | Optional | Chaîne | Interface réseau sur laquelle les données ont été capturées. Ce champ est généralement pertinent pour l’activité liée au réseau capturée par un dispositif intermédiaire ou tap. |
Les champs nommés dans la liste avec le préfixe Dvc doivent prépender un préfixe de rôle tel que Src ou Dst, mais ne doivent pas prépender un second Dvc préfixe s’ils sont utilisés dans ce rôle.