Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Enheter, eller verter, er de vanlige termene som brukes for systemene som deltar i hendelsen. Prefikset Dvc brukes til å angi den primære enheten som hendelsen forekommer på. Noen hendelser, for eksempel nettverksøkter, har kilde- og målenheter, angitt av prefikset Src og Dst. I slike tilfeller brukes prefikset Dvc for enheten som rapporterer hendelsen, som kan være kilden, målet eller en overvåkingsenhet.
Enhetsaliasene
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Dvc, Src, Dst | Obligatorisk | Streng | Feltene DvcSrc eller DST brukes som en unik identifikator for enheten. Den er satt til den beste tilgjengelige identifiseringen for enheten. Disse feltene kan alias for feltene FQDN, DvcId, Hostname eller IpAddr . For skykilder, som det ikke finnes noen tilsynelatende enhet for, bruker du samme verdi som feltet Hendelsesprodukt . |
Enhetsnavnet
Rapporterte enhetsnavn kan bare inneholde et vertsnavn eller et fullstendig domenenavn (FQDN), som inkluderer et vertsnavn og et domenenavn. FQDN kan uttrykkes ved hjelp av flere formater. Følgende felter aktiverer støtte for de ulike variantene der enhetsnavnet kan angis.
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Vertsnavn | Anbefalt | Vertsnavn | Det korte vertsnavnet for enheten. |
| Domene | Anbefalt | Streng | Domenet til enheten der hendelsen oppstod, uten vertsnavnet. |
| DomainType | Anbefalt | Nummerert | Domenetypen. Støttede verdier inkluderer FQDN og Windows. Dette feltet er obligatorisk hvis Domene-feltet brukes. |
| FQDN | Valgfri | Streng | FQDN for enheten, inkludert både Hostname og Domain . Dette feltet støtter både tradisjonelt FQDN-format og Windows-domene\vertsnavnformat. DomainType-feltet gjenspeiler formatet som brukes. |
Eksempel:
| Felt | Verdi for inndata appserver.contoso.com |
verdi for inndata appserver |
|---|---|---|
| Vertsnavn | appserver |
appserver |
| Domene | contoso.con |
<Tom> |
| DomainType | FQDN |
<Tom> |
| FQDN | appserver.contoso.com |
<Tom> |
Når verdien fra kilden er en FQDN, skal parseren beregne de fire verdiene. Dette gjelder også når verdien kan være enten og FQDN eller et kort vertsnavn. Bruk ASIM-hjelpefunksjonene _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNog _ASIM_ResolveDvcFQDN til enkelt å angi alle fire feltene basert på én enkelt inndataverdi. Hvis du vil ha mer informasjon, kan du se ASIM-hjelpefunksjoner.
Enhets-ID-en og omfanget
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| DvcId | Valgfri | Streng | Den unike ID-en for enheten. For eksempel: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Valgfri | Streng | Omfangs-ID-en for skyplattformen som enheten tilhører. Omfangskart til en abonnements-ID på Azure og til en konto-ID på AWS. |
| Omfanget | Valgfri | Streng | Omfanget for skyplattformen som enheten tilhører. Omfangskart til et abonnement på Azure og til en konto på AWS. |
| DvcIdType | Valgfri | Nummerert | Typen DvcId. Dette feltet identifiserer vanligvis også typen omfang og omfangs-ID. Dette feltet er obligatorisk hvis DvcId-feltet brukes. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Valgfri | Streng | Felt som brukes til å lagre andre enhets-ID-er, hvis den opprinnelige hendelsen inneholder flere enhets-ID-er. Velg enhets-ID-en som er mest knyttet til hendelsen, som den primære ID-en som er lagret i DvcId. |
Feltnavn bør klargjøre et rolleprefiks, for eksempel Src eller Dst, men bør ikke klargjøre et andre Dvc prefiks hvis det brukes i denne rollen.
De tillatte verdiene for en enhets-ID-type er:
| Type: | Beskrivelse |
|---|---|
| MDEid | System-ID-en tilordnet av Microsoft Defender for endepunkt. |
| AzureResourceId | Ressurs-ID-en for Azure. |
| MD4IoTid | Microsoft Defender for IoT-ressurs-ID. |
| VMConnectionId | Ressurs-ID-en Azure Overvåk ressurs-ID for VM Insights-løsning. |
| AwsVpcId | En AWS VPC-ID. |
| VectraId | En Vectra AI-tilordnet ressurs-ID. |
| Annet | En ID-type er ikke oppført. |
Løsningen Azure Overvåk VM Insights gir for eksempel informasjon om nettverksøkter i VMConnection. Tabellen inneholder en Azure ressurs-ID i _ResourceId feltet og en spesifikk enhets-ID for vm-innsikt i Machine feltet. Bruk følgende tilordning til å representere disse ID-ene:
| Felt | Tilordne til |
|---|---|
| DvcId | Feltet Machine i tabellen VMConnection . |
| DvcIdType | Verdien VMConnectionId |
| DvcAzureResourceId | Feltet _ResourceId i tabellen VMConnection . |
Andre enhetsfelt
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| IpAddr | Anbefalt | IP-adresse | IP-adressen til enheten. Eksempel: 45.21.42.12 |
| DvcDescription | Valgfri | Streng | En beskrivende tekst som er knyttet til enheten. Eksempel: Primary Domain Controller. |
| MacAddr | Valgfri | MAC | MAC-adressen til enheten der hendelsen oppstod, eller som rapporterte hendelsen. Eksempel: 00:1B:44:11:3A:B7 |
| Sonen | Valgfri | Streng | Nettverket der hendelsen oppstod eller som rapporterte hendelsen, avhengig av skjemaet. Rapporteringsenheten definerer sonen. Eksempel: Dmz |
| DvcOer | Valgfri | Streng | Operativsystemet som kjører på enheten der hendelsen oppstod, eller som rapporterte hendelsen. Eksempel: Windows |
| DvcOsVersion | Valgfri | Streng | Versjonen av operativsystemet på enheten der hendelsen oppstod, eller som rapporterte hendelsen. Eksempel: 10 |
| DvcAction | Valgfri | Streng | For rapportering av sikkerhetssystemer, handlingen som utføres av systemet, hvis aktuelt. Eksempel: Blocked |
| DvcOriginalAction | Valgfri | Streng | Den opprinnelige DvcAction som leveres av rapporteringsenheten. |
| Grensesnitt | Valgfri | Streng | Nettverksgrensesnittet som dataene ble registrert på. Dette feltet er vanligvis relevant for nettverksrelatert aktivitet som fanges opp av en mellomliggende enhet eller trykker på enheten. |
Felt som er navngitt i listen med Dvc-prefikset, bør klargjøre et rolleprefiks, for eksempel Src eller Dst, men bør ikke klargjøre et andre Dvc prefiks hvis det brukes i denne rollen.