Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Apparaten of hosts zijn de algemene termen die worden gebruikt voor de systemen die deelnemen aan het evenement. Het Dvc voorvoegsel wordt gebruikt om het primaire apparaat aan te wijzen waarop de gebeurtenis plaatsvindt. Sommige gebeurtenissen, zoals netwerksessies, hebben bron- en doelapparaten, aangewezen door het voorvoegsel Src en Dst. In dat geval wordt het Dvc voorvoegsel gebruikt voor het apparaat dat de gebeurtenis rapporteert. Dit kan de bron, bestemming of een bewakingsapparaat zijn.
De aliassen van apparaten
| Veld | Class | Typologie | Description |
|---|---|---|---|
| Dvc, Src, Dst | Mandatory | Snaar / Touwtje | De Dvcvelden 'Src' of 'Dst' worden gebruikt als een unieke id van het apparaat. Deze is ingesteld op de best beschikbare optie voor het apparaat. Deze velden kunnen als alias functioneren voor de velden FQDN, DvcId, Hostname of IpAddr. Gebruik voor cloudbronnen zonder een duidelijk apparaat dezelfde waarde als het veld Event Product. |
De apparaatnaam
Gerapporteerde apparaatnamen kunnen alleen een hostnaam of een FQDN (Fully Qualified Domain Name) bevatten, waaronder een hostnaam en een domeinnaam. De FQDN kan worden uitgedrukt in verschillende indelingen. Met de volgende velden kunt u de verschillende varianten ondersteunen waarin de apparaatnaam kan worden opgegeven.
| Veld | Class | Typologie | Description |
|---|---|---|---|
| Hostnaam | Aanbevolen | Hostname | De korte hostnaam van het apparaat. |
| Domein | Aanbevolen | Snaar / Touwtje | Het domein van het apparaat waarop de gebeurtenis heeft plaatsgevonden, zonder de hostnaam. |
| DomainType | Aanbevolen | Opgelijst | Het type domein. Ondersteunde waarden zijn onder andere FQDN en Windows. Dit veld is vereist als het veld Domein wordt gebruikt. |
| FQDN | Optioneel | Snaar / Touwtje | De FQDN van het apparaat, inclusief zowel Hostnaam als Domein . Dit veld ondersteunt zowel de traditionele FQDN-indeling als de indeling Windows-domein\hostnaam. Het veld DomainType weerspiegelt de gebruikte indeling. |
Voorbeeld:
| Veld | Waarde voor invoer appserver.contoso.com |
waarde voor invoer appserver |
|---|---|---|
| Hostnaam | appserver |
appserver |
| Domain | contoso.con |
<leeg> |
| DomainType | FQDN |
<leeg> |
| FQDN | appserver.contoso.com |
<leeg> |
Wanneer de waarde die door de bron wordt gegeven een FQDN is, moet de parser de vier waarden berekenen. Dit geldt ook wanneer de waarde een FQDN of een korte hostnaam kan zijn. Gebruik de ASIM-helperfuncties_ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDNen _ASIM_ResolveDstFQDN_ASIM_ResolveDvcFQDN om eenvoudig alle vier de velden in te stellen op basis van één invoerwaarde. Zie ASIM-helperfuncties voor meer informatie.
De apparaat-id en het bereik
| Veld | Class | Typologie | Description |
|---|---|---|---|
| DvcId | Optioneel | Snaar / Touwtje | De unieke ID van het apparaat. Bijvoorbeeld: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Optioneel | Snaar / Touwtje | De bereik-id van het cloudplatform waartoe het apparaat behoort. Bereik is gekoppeld aan een abonnements-id in Azure en aan een account-id in AWS. |
| Toepassingsgebied | Optioneel | Snaar / Touwtje | Het cloudplatformbereik waartoe het apparaat behoort. Bereik komt overeen met een abonnement in Azure en een account in AWS. |
| DvcIdType | Optioneel | Opgelijst | Het type DvcId. Typisch identificeert dit veld ook het type Scope en ScopeId. Dit veld is vereist als het veld DvcId wordt gebruikt. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Optioneel | Snaar / Touwtje | Velden die worden gebruikt om andere apparaat-ID's op te slaan, als het oorspronkelijke evenement meerdere apparaat-ID's bevat. Selecteer de apparaat-id die het meest is gekoppeld aan de gebeurtenis als de primaire id die is opgeslagen in DvcId. |
Veldnamen moeten een rolvoorvoegsel zoals Src of Dstvoorafgaan aan een voorvoegsel, maar mogen geen tweede Dvc voorvoegsel hebben als ze in die rol worden gebruikt.
De toegestane waarden voor een apparaat-id-type zijn:
| Typologie | Description |
|---|---|
| MDEid | De systeem-id die is toegewezen door Microsoft Defender voor Eindpunt. |
| AzureResourceId | De Azure-resource-ID. |
| MD4IoTid | De resource-id van Microsoft Defender for IoT. |
| VMConnectionId | De resource-id van de Azure Monitor VM Insights-oplossing. |
| AwsVpcId | Een AWS VPC-id. |
| VectraId | Een resource-id toegewezen door Vectra AI. |
| Overige | Een ID-type dat niet vermeld staat. |
De Azure Monitor VM Insights-oplossing biedt bijvoorbeeld informatie over netwerksessies in de VMConnection. De tabel bevat een Azure-resource-id in het _ResourceId veld en een specifieke apparaat-id voor VM-inzichten in het Machine veld. Gebruik de volgende toewijzing om deze ID's weer te geven:
| Veld | Koppelen aan |
|---|---|
| DvcId | Het Machine veld in de VMConnection tabel. |
| DvcIdType | De waarde VMConnectionId |
| DvcAzureResourceId | Het _ResourceId veld in de VMConnection tabel. |
Andere apparaatvelden
| Veld | Class | Typologie | Description |
|---|---|---|---|
| IpAddr | Aanbevolen | IP address | Het IP-adres van het apparaat. Voorbeeld: 45.21.42.12 |
| DvcBeschrijving | Optioneel | Snaar / Touwtje | Een beschrijvende tekst die aan het apparaat is gekoppeld. Voorbeeld: Primary Domain Controller. |
| MacAddr | Optioneel | MAC | Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. Voorbeeld: 00:1B:44:11:3A:B7 |
| Zone | Optioneel | Snaar / Touwtje | Het netwerk waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd, afhankelijk van het schema. Het rapportageapparaat definieert de zone. Voorbeeld: Dmz |
| DvcOs | Optioneel | Snaar / Touwtje | Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. Voorbeeld: Windows |
| DvcOsVersion | Optioneel | Snaar / Touwtje | De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. Voorbeeld: 10 |
| DvcAction | Optioneel | Snaar / Touwtje | Voor het rapporteren van beveiligingssystemen, indien van toepassing, de door het systeem uitgevoerde actie. Voorbeeld: Blocked |
| DvcOriginalAction | Optioneel | Snaar / Touwtje | De oorspronkelijke DvcAction zoals geleverd door het rapportageapparaat. |
| Interface | Optioneel | Snaar / Touwtje | De netwerkinterface waarop gegevens zijn vastgelegd. Dit veld is typisch relevant voor netwerkgerelateerde activiteiten die worden vastgelegd door een tussentijds of tapapparaat. |
Velden die in de lijst worden benoemd met het Dvc-voorvoegsel moeten een rolvoorvoegsel zoals Src of Dstvoorafgaan, maar mogen geen tweede Dvc voorvoegsel als in die rol worden gebruikt.