디바이스 또는 호스트는 이벤트에 참여하는 시스템에 사용되는 일반적인 용어입니다.
Dvc 접두사는 이벤트가 발생하는 기본 디바이스를 지정하는 데 사용됩니다. 네트워크 세션과 같은 일부 이벤트에는 접두사 SrcDst및 로 지정된 원본 및 대상 디바이스가 있습니다. 이러한 경우 접두사는 원본, Dvc 대상 또는 모니터링 디바이스일 수 있는 이벤트를 보고하는 디바이스에 사용됩니다.
디바이스 별칭
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| Dvc, Src, Dst | 필수 | String |
Dvc, 'Src' 또는 'Dst' 필드는 디바이스의 고유 식별자로 사용됩니다. 디바이스에 대해 식별할 수 있는 최상의 값으로 설정됩니다. 이러한 필드는 FQDN, DvcId, 호스트 이름 또는 IpAddr 필드의 별칭을 지정할 수 있습니다. 명백한 디바이스가 없는 클라우드 원본의 경우 이벤트 제품 필드와 동일한 값을 사용합니다. |
디바이스 이름
보고된 디바이스 이름에는 호스트 이름만 포함되거나 호스트 이름 및 도메인 이름을 포함하는 FQDN(정규화된 도메인 이름)이 포함될 수 있습니다. FQDN은 여러 형식으로 표현될 수 있습니다. 다음 필드에서는 디바이스 이름을 제공할 수 있는 다양한 변형을 지원할 수 있습니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| 호스트 | 권장 | Hostname(호스트 이름) | 디바이스의 짧은 호스트 이름입니다. |
| 도메인 | 권장 | String | 호스트 이름 없이 이벤트가 발생한 디바이스의 도메인입니다. |
| DomainType | 권장 | 열거 |
도메인의 형식입니다. 지원되는 값은 및 을 Windows포함합니다FQDN.
도메인 필드를 사용하는 경우 이 필드가 필요합니다. |
| Fqdn | 옵션 | String | 호스트 이름과도메인을 모두 포함하는 디바이스의 FQDN입니다. 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. DomainType 필드는 사용된 형식을 반영합니다. |
예시:
| 필드 | 입력 값 appserver.contoso.com |
입력 값 appserver |
|---|---|---|
| 호스트 이름 | appserver |
appserver |
| 도메인 | contoso.con |
<빈> |
| DomainType | FQDN |
<빈> |
| FQDN | appserver.contoso.com |
<빈> |
원본에서 제공하는 값이 FQDN인 경우 파서는 4개의 값을 계산해야 합니다. 값이 FQDN 또는 짧은 호스트 이름일 수도 있습니다. ASIM 도우미 함수 _ASIM_ResolveFQDN, , _ASIM_ResolveSrcFQDN및 _ASIM_ResolveDstFQDN_ASIM_ResolveDvcFQDN 를 사용하여 단일 입력 값에 따라 네 개의 필드를 모두 쉽게 설정할 수 있습니다. 자세한 내용은 ASIM 도우미 함수를 참조하세요.
디바이스 ID 및 범위
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| DvcId | 옵션 | String | 디바이스의 고유 ID입니다. 예: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope ID입니다. 범위는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| 범위 | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope. 범위는 Azure 구독 및 AWS의 계정에 매핑됩니다. |
| DvcIdType | 옵션 | 열거 | DvcId의 형식입니다. 일반적으로 이 필드는 Scope 및 ScopeId의 형식도 식별합니다. DvcId 필드를 사용하는 경우 이 필드가 필요합니다. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | 옵션 | String | 원래 이벤트에 여러 디바이스 ID가 포함된 경우 다른 디바이스 ID를 저장하는 데 사용되는 필드입니다. 이벤트와 가장 연결된 디바이스 ID를 DvcId에 저장된 기본 ID로 선택합니다. |
필드 이름은 또는 Dst와 같은 Src 역할 접두사를 앞에 추가해야 하지만 해당 역할에 사용되는 경우 두 번째 Dvc 접두사를 앞에 두면 안 됩니다.
디바이스 ID 유형에 허용되는 값은 다음과 같습니다.
| 유형 | 설명 |
|---|---|
| MDEid | 엔드포인트용 Microsoft Defender 할당된 시스템 ID입니다. |
| AzureResourceId | Azure 리소스 ID입니다. |
| MD4IoTid | IoT 리소스 ID에 대한 Microsoft Defender. |
| VMConnectionId | Azure Monitor VM Insights 솔루션 리소스 ID입니다. |
| AwsVpcId | AWS VPC ID입니다. |
| VectraId | Vectra AI 할당 리소스 ID입니다. |
| 다른 | 나열되지 않은 ID 형식입니다. |
예를 들어 Azure Monitor VM Insights 솔루션은 의 VMConnection네트워크 세션 정보를 제공합니다. 이 테이블은 필드에 Azure 리소스 ID와 필드의 _ResourceId VM 인사이트 특정 디바이스 ID를 Machine 제공합니다. 다음 매핑을 사용하여 해당 ID를 나타냅니다.
| 필드 | 매핑 대상 |
|---|---|
| DvcId |
Machine 테이블의 필드입니다VMConnection. |
| DvcIdType | 값 VMConnectionId |
| DvcAzureResourceId |
_ResourceId 테이블의 필드입니다VMConnection. |
기타 디바이스 필드
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| IpAddr | 권장 | IP 주소 | 디바이스의 IP 주소입니다. 예: 45.21.42.12 |
| DvcDescription | 옵션 | String | 디바이스와 연결된 설명 텍스트입니다. 예: Primary Domain Controller |
| MacAddr | 옵션 | Mac | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 MAC 주소입니다. 예: 00:1B:44:11:3A:B7 |
| 영역 | 옵션 | String | 스키마에 따라 이벤트가 발생했거나 이벤트를 보고한 네트워크입니다. 보고 디바이스는 영역을 정의합니다. 예: Dmz |
| DvcOs | 옵션 | String | 이벤트가 발생했거나 이벤트를 보고한 디바이스에서 실행되는 운영 체제입니다. 예: Windows |
| DvcOsVersion | 옵션 | String | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 운영 체제 버전입니다. 예: 10 |
| DvcAction | 옵션 | String | 보안 시스템을 보고하는 경우 해당되는 경우 시스템에서 수행한 작업입니다. 예: Blocked |
| DvcOriginalAction | 옵션 | String | 보고 디바이스에서 제공한 원래 DvcAction 입니다. |
| 인터페이스 | 옵션 | String | 데이터가 캡처된 네트워크 인터페이스입니다. 이 필드는 일반적으로 중간 또는 탭 디바이스에서 캡처한 네트워크 관련 활동과 관련이 있습니다. |
Dvc 접두사로 목록에 이름이 지정된 필드는 또는 Dst와 같은 Src 역할 접두사를 앞에 추가해야 하지만 해당 역할에 사용되는 경우 두 번째 Dvc 접두사를 앞에 두면 안 됩니다.