הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
מכשירים או מארחים הם התנאים הנפוצים המשמשים עבור המערכות הנכללות באירוע. הקידומת Dvc משמשת לייעד את ההתקן הראשי שבו האירוע מתרחש. לאירועים מסוימים, כגון הפעלות רשת, יש התקני מקור ויעד, המוגדרים על-ידי הקידומת Src ו- Dst. במקרה כזה, הקידומת Dvc משמשת עבור המכשיר המדווח על האירוע, שעשוי להיות המקור, היעד או התקן הניטור.
כינויי המכשיר
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| Dvc, Src, Dst | חובה | מחרוזת | השדות Dvc, 'Src' או 'Dst' משמשים כמזהה ייחודי של המכשיר. הוא מוגדר לזמין הטוב ביותר המזוהה עבור המכשיר. שדות אלה יכולים להוסיף כינוי לשדות FQDN, DvcId, Hostname או IpAddr . עבור מקורות ענן, שעבורם אין מכשיר גלוי לעין, השתמש באותו ערך כמו השדה 'מוצר אירוע '. |
שם המכשיר
שמות מכשירים שדווחו עשויים לכלול שם מחשב מארח בלבד, או שם תחום מלא (FQDN), הכולל שם מארח ושם תחום. ייתכן ש- FQDN מבוטא באמצעות כמה תבניות. השדות הבאים מאפשרים תמיכה במשתנים השונים שבהם שם המכשיר עשוי להיות מסופק.
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| שם מחשב מארח | מומלץ | Hostname | שם המארח הקצר של המכשיר. |
| תחום | מומלץ | מחרוזת | התחום של המכשיר שבו התרחש האירוע, ללא שם המחשב המארח. |
| סוג תחום | מומלץ | ספירה | סוג התחום. הערכים הנתמכים כוללים את FQDN ו- Windows. שדה זה נדרש אם נעשה שימוש בשדה תחום. |
| FQDN (FQDN) | אופציונלי | מחרוזת | ה- FQDN של המכשיר, כולל Hostname ו - Domain . שדה זה תומך הן בתבנית FQDN מסורתית והן בתבנית Windows domain\hostname. השדה DomainType משקף את התבנית שבה נעשה שימוש. |
לדוגמה:
| שדה | ערך עבור קלט appserver.contoso.com |
ערך עבור קלט appserver |
|---|---|---|
| Hostname | appserver |
appserver |
| Domain | contoso.con |
<ריק> |
| סוג תחום | FQDN |
<ריק> |
| FQDN (FQDN) | appserver.contoso.com |
<ריק> |
כאשר הערך שסופק על-ידי המקור הוא FQDN, המנתח צריך לחשב את ארבעת הערכים. הדבר נכון גם כאשר הערך יכול להיות FQDN או שם מארח קצר. השתמש בפונקציות עוזר ASIM _ASIM_ResolveFQDN, , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNו כדי _ASIM_ResolveDvcFQDN להגדיר בקלות את כל ארבעת השדות בהתבסס על ערך קלט יחיד. לקבלת מידע נוסף, ראה פונקציות עוזרות של ASIM.
מזהה המכשיר והיקף
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| מזהה DvcId | אופציונלי | מחרוזת | המזהה הייחודי של המכשיר. לדוגמה: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| Scopeid | אופציונלי | מחרוזת | מזהה הטווח של פלטפורמת הענן שהמכשיר שייך אליו. טווח מפה למזהה מנוי ב- Azure ומזהה חשבון ב- AWS. |
| טווח | אופציונלי | מחרוזת | היקף פלטפורמת הענן שהמכשיר שייך אליו. טווח מפה למנוי ב- Azure וחשבון ב- AWS. |
| סוג DvcId | אופציונלי | ספירה | סוג DvcId. בדרך כלל שדה זה גם מזהה את סוג הטווח וה - ScopeId. שדה זה נדרש אם נעשה שימוש בשדה DvcId . |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | אופציונלי | מחרוזת | שדות המשמשים לאחסון זהות מכשירים אחרים, אם האירוע המקורי כולל מזהה מכשירים מרובים. בחר את מזהה המכשיר המשויך ביותר לאירוע כמזהה הראשי המאוחסן ב- DvcId. |
שמות שדות צריכים להוסיף SrcDstקידומת תפקיד כגון או , אך Dvc אין להוסיף קידומת שניה אם נעשה בה שימוש בתפקיד זה.
הערכים המותרים עבור סוג מזהה מכשיר הם:
| סוג | תיאור |
|---|---|
| מזהה MDE | מזהה המערכת שהוקצה על-ידי Microsoft Defender עבור נקודת קצה. |
| AzureResourceId | מזהה Azure המשאב. |
| MD4IoTid | מזהה Microsoft Defender עבור IoT. |
| מזהה VMConnection | מזהה משאב Azure של תובנות VM של ניטור. |
| AwsVpcId | מזהה VPC של AWS. |
| מזהה VectraId | מזהה משאב שהוקצה לו על-ידי Vectra AI. |
| אחרים | סוג מזהה לא מופיע ברשימה. |
לדוגמה, פתרון Azure Monitor VM Insights מספק מידע אודות הפעלות רשת ב- VMConnection. הטבלה מספקת Azure משאב _ResourceId בשדה ומזהה מכשיר ספציפי של מחשב וירטואלי מתובנות בשדהMachine. השתמש במיפוי הבא כדי לייצג את אותם זהים:
| שדה | מפה אל |
|---|---|
| מזהה DvcId | השדה Machine בטבלה VMConnection . |
| סוג DvcId | הערך VMConnectionId |
| DvcAzureResourceId | השדה _ResourceId בטבלה VMConnection . |
שדות מכשירים אחרים
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| IpAddr | מומלץ | כתובת IP | כתובת ה- IP של המכשיר. דוגמה 45.21.42.12 |
| DvcDescription | אופציונלי | מחרוזת | טקסט תיאורי המשויך למכשיר. לדוגמה: Primary Domain Controller. |
| MacAddr | אופציונלי | Mac | כתובת ה- MAC של המכשיר שבו התרחש האירוע או שדיווח על האירוע. דוגמה 00:1B:44:11:3A:B7 |
| אזור | אופציונלי | מחרוזת | הרשת שבה התרחש האירוע או שדיווח על האירוע, בהתאם בסכימה. התקן הדיווח מגדיר את האזור. דוגמה Dmz |
| DvcOs | אופציונלי | מחרוזת | מערכת ההפעלה שפועלת במכשיר שבו התרחש האירוע או שדיווח על האירוע. דוגמה Windows |
| DvcOsVersion | אופציונלי | מחרוזת | גירסת מערכת ההפעלה במכשיר שבו התרחש האירוע או שדיווח על האירוע. דוגמה 10 |
| DvcAction | אופציונלי | מחרוזת | לדיווח על מערכות אבטחה, הפעולה שבוצעה על-ידי המערכת, אם רלוונטית. דוגמה Blocked |
| DvcOriginalAction | אופציונלי | מחרוזת | DvcAction המקורי כפי שמסופק על-ידי התקן הדיווח. |
| ממשק | אופציונלי | מחרוזת | ממשק הרשת שבו נלכדו נתונים. שדה זה רלוונטי בדרך כלל לפעילות הקשורה לרשת שנלכדה על-ידי מכשיר ביניים או הקשה. |
שדות ששמם מופיע ברשימה עם קידומת Dvc SrcDstצריכים להוסיף קידומת תפקיד כגון או , Dvc אך אין להוסיף קידומת שניה אם נעשה בה שימוש בתפקיד זה.