Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Perangkat, atau host, adalah istilah umum yang digunakan untuk sistem yang mengambil bagian dalam peristiwa tersebut.
Dvc Awalan digunakan untuk menunjuk perangkat utama tempat peristiwa terjadi. Beberapa peristiwa, seperti sesi jaringan, memiliki perangkat sumber dan tujuan, yang ditunjuk oleh awalan Src dan Dst. Dalam kasus seperti itu, awalan Dvc digunakan untuk perangkat yang melaporkan peristiwa, yang mungkin merupakan sumber, tujuan, atau perangkat pemantauan.
Alias perangkat
| Bidang | Class | Tipe | Description |
|---|---|---|---|
| Dvc, Src, Dst | Mandatory | String | Bidang Dvc, 'Src', atau 'Dst' digunakan sebagai pengidentifikasi unik perangkat. Diatur ke opsi terbaik yang tersedia untuk perangkat. Bidang ini dapat alias bidang FQDN, DvcId, Hostname, atau IpAddr . Untuk sumber cloud yang tidak memiliki perangkat yang terlihat, gunakan nilai yang sama dengan di bidang Produk Peristiwa. |
Nama perangkat
Nama perangkat yang dilaporkan hanya dapat menyertakan nama host, atau nama domain yang sepenuhnya memenuhi syarat (FQDN), yang mencakup nama host dan nama domain. FQDN mungkin diekspresikan menggunakan beberapa format. Bidang berikut memungkinkan dukungan varian yang berbeda di mana nama perangkat mungkin disediakan.
| Bidang | Class | Tipe | Description |
|---|---|---|---|
| Nama host | Recommended | Hostname | Nama host pendek perangkat. |
| Domain | Recommended | String | Domain perangkat tempat peristiwa terjadi, tanpa nama host. |
| Jenis Domain | Recommended | Disebutkan | Jenis Domain. Nilai yang didukung meliputi FQDN dan Windows. Bidang ini diperlukan jika bidang Domain digunakan. |
| FQDN | Fakultatif | String | FQDN perangkat termasuk Nama Host dan Domain . Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang DomainType mencerminkan format yang digunakan. |
Contohnya:
| Bidang | Nilai untuk input appserver.contoso.com |
nilai untuk input appserver |
|---|---|---|
| Host Name | appserver |
appserver |
| Domain | contoso.con |
<kosong> |
| DomainType | FQDN |
<kosong> |
| FQDN | appserver.contoso.com |
<kosong> |
Ketika nilai yang diberikan oleh sumber adalah FQDN, pengurai harus menghitung empat nilai. Ini juga berlaku ketika nilainya mungkin dan FQDN atau nama host pendek. Gunakan fungsi pembantu ASIM _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN, dan _ASIM_ResolveDvcFQDN untuk mengatur keempat bidang dengan mudah berdasarkan satu nilai input. Untuk informasi selengkapnya, lihat Fungsi pembantu ASIM.
ID perangkat dan Cakupan
| Bidang | Class | Tipe | Description |
|---|---|---|---|
| DvcId | Fakultatif | String | ID unik perangkat. Misalnya: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| Ruang lingkup | Fakultatif | String | ID cakupan platform cloud tempat perangkat ini tergabung. Peta cakupan ke ID langganan di Azure dan ke ID akun di AWS. |
| Ruang lingkup | Fakultatif | String | Cakupan platform cloud tempat perangkat tersebut berada. Peta cakupan ke langganan di Azure dan ke akun di AWS. |
| DvcIdType | Fakultatif | Disebutkan | Jenis DvcId. Biasanya bidang ini juga mengidentifikasi jenis Scope dan ScopeId. Bidang ini diperlukan jika bidang DvcId digunakan. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Fakultatif | String | Kolom yang digunakan untuk menyimpan ID perangkat lain, jika peristiwa asli menyertakan beberapa ID perangkat. Pilih ID perangkat yang paling terkait dengan peristiwa sebagai ID utama yang disimpan di DvcId. |
Nama bidang harus mendahului awalan peran seperti Src atau Dst, tetapi tidak boleh mendahului awalan kedua Dvc jika digunakan dalam peran tersebut.
Nilai yang diizinkan untuk jenis ID perangkat adalah:
| Tipe | Description |
|---|---|
| MDEid | ID sistem yang ditetapkan oleh Microsoft Defender for Endpoint. |
| AzureResourceId | ID sumber daya Azure. |
| MD4IoTid | ID Sumber Daya Microsoft Defender untuk IoT. |
| VMConnectionId | ID sumber daya solusi Azure Monitor VM Insights. |
| AwsVpcId | AWS VPC ID |
| VectraId | ID sumber daya yang diunggaskan oleh Vectra AI. |
| Lainnya | Jenis ID yang tidak tercantum. |
Misalnya, solusi Azure Monitor VM Insights menyediakan informasi sesi jaringan di VMConnection. Tabel ini menyediakan ID Sumber Daya Azure di kolom _ResourceId dan ID perangkat khusus untuk insights VM di kolom Machine. Gunakan pemetaan berikut untuk mewakili ID tersebut:
| Bidang | Petakan menuju |
|---|---|
| DvcId | Bidang Machine pada tabel VMConnection. |
| DvcIdType | Nilai VMConnectionId |
| DvcAzureResourceId | Bidang _ResourceId pada tabel VMConnection. |
Bidang perangkat lainnya
| Bidang | Class | Tipe | Description |
|---|---|---|---|
| IpAddr | Recommended | alamat IP | Alamat IP perangkat. Contoh: 45.21.42.12 |
| Deskripsi Dvc | Fakultatif | String | Teks deskriptif yang terkait dengan perangkat. Misalnya: Primary Domain Controller. |
| MacAddr | Fakultatif | MAC | Alamat MAC perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. Contoh: 00:1B:44:11:3A:B7 |
| Zona | Fakultatif | String | Jaringan tempat peristiwa terjadi atau yang melaporkan peristiwa, tergantung pada skemanya. Perangkat pelaporan menentukan zona. Contoh: Dmz |
| DvcOs | Fakultatif | String | Sistem operasi yang berjalan pada perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. Contoh: Windows |
| Versi DvcOsVersi | Fakultatif | String | Versi sistem operasi pada perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. Contoh: 10 |
| DvcAction | Fakultatif | String | Untuk melaporkan sistem keamanan, tindakan yang diambil oleh sistem, jika berlaku. Contoh: Blocked |
| DvcTindakan Asli | Fakultatif | String | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
| Antarmuka | Fakultatif | String | Antarmuka jaringan tempat data diambil. Bidang ini biasanya relevan dengan aktivitas terkait jaringan yang ditangkap oleh perangkat perantara atau ketuk. |
Bidang yang dinamai dalam daftar dengan awalan Dvc harus mendahului awalan peran seperti Src atau Dst, tetapi tidak boleh mendahului awalan kedua Dvc jika digunakan dalam peran tersebut.