Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Urządzenia lub hosty to typowe terminy używane dla systemów, które biorą udział w zdarzeniu. Prefiks Dvc służy do wyznaczania urządzenia podstawowego, na którym występuje zdarzenie. Niektóre zdarzenia, takie jak sesje sieciowe, mają urządzenia źródłowe i docelowe oznaczone prefiksem Src i Dst. W takim przypadku Dvc prefiks jest używany do raportowania zdarzenia przez urządzenie, które może być urządzeniem źródłowym, docelowym lub urządzeniem monitorującym.
Aliasy urządzeń
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Dvc, Src, Dst | Obowiązkowe | Ciąg | Pola Dvc, "Src" lub "Dst" są używane jako unikatowy identyfikator urządzenia. Jest ona ustawiona na najlepszą dostępną dla urządzenia. Te pola mogą aliasować pola FQDN, DvcId, Hostname lub IpAddr . W przypadku źródeł w chmurze, dla których nie ma widocznego urządzenia, użyj tej samej wartości co pole Produkt zdarzenia . |
Nazwa urządzenia
Zgłoszone nazwy urządzeń mogą zawierać tylko nazwę hosta lub w pełni kwalifikowaną nazwę domeny (FQDN), która zawiera nazwę hosta i nazwę domeny. Nazwa FQDN może być wyrażona przy użyciu kilku formatów. Poniższe pola umożliwiają obsługę różnych wariantów, w których można podać nazwę urządzenia.
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| Nazwa hosta | Zalecane | Nazwa hosta | Krótka nazwa hosta urządzenia. |
| Domeny | Zalecane | Ciąg | Domena urządzenia, na którym wystąpiło zdarzenie, bez nazwy hosta. |
| Domaintype | Zalecane | Wyliczane | Typ domeny. Obsługiwane wartości obejmują FQDN i Windows. To pole jest wymagane, jeśli jest używane pole Domena . |
| FQDN | Opcjonalny | Ciąg | Nazwa FQDN urządzenia, w tym nazwa hosta i domena . To pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa hosta systemu Windows. Pole DomainType odzwierciedla używany format. |
Przykład:
| Pole | Wartość dla danych wejściowych appserver.contoso.com |
wartość dla danych wejściowych appserver |
|---|---|---|
| Hostname (Nazwa hosta) | appserver |
appserver |
| Domain (Domena) | contoso.con |
<Pusty> |
| Domaintype | FQDN |
<Pusty> |
| FQDN | appserver.contoso.com |
<Pusty> |
Gdy wartość podana przez źródło jest nazwą FQDN, analizator powinien obliczyć cztery wartości. Jest to również prawdziwe, gdy wartość może być albo i FQDN lub krótka nazwa hosta. Użyj funkcji pomocniczych _ASIM_ResolveFQDNASIM , , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNi _ASIM_ResolveDvcFQDN , aby łatwo ustawić wszystkie cztery pola na podstawie pojedynczej wartości wejściowej. Aby uzyskać więcej informacji, zobacz Funkcje pomocnika ASIM.
Identyfikator urządzenia i zakres
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| DvcId | Opcjonalny | Ciąg | Unikatowy identyfikator urządzenia. Przykład: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| Idzakresu | Opcjonalny | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. Zakres jest mapowany na identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| Zakres | Opcjonalny | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. Zakres jest mapowany na subskrypcję na Azure i na konto na platformie AWS. |
| DvcIdType | Opcjonalny | Wyliczane | Typ DvcId. Zazwyczaj to pole identyfikuje również typ zakresu i identyfikatora ScopeId. To pole jest wymagane, jeśli jest używane pole DvcId . |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Opcjonalny | Ciąg | Pola używane do przechowywania innych identyfikatorów urządzeń, jeśli oryginalne zdarzenie zawiera wiele identyfikatorów urządzeń. Wybierz identyfikator urządzenia najbardziej skojarzony ze zdarzeniem jako podstawowy identyfikator przechowywany w identyfikatorze DvcId. |
Nazwy pól powinny poprzedzać prefiks roli, taki jak Src lub Dst, ale nie powinny poprzedzać drugiego Dvc prefiksu, jeśli jest używany w tej roli.
Dozwolone wartości dla typu identyfikatora urządzenia to:
| Wpisać | Opis |
|---|---|
| MDEid | Identyfikator systemu przypisany przez Ochrona punktu końcowego w usłudze Microsoft Defender. |
| AzureResourceId | Identyfikator zasobu Azure. |
| MD4IoTid | Microsoft Defender identyfikatora zasobu IoT. |
| VMConnectionId | Identyfikator zasobu rozwiązania Azure Monitor VM Insights. |
| AwsVpcId | Identyfikator VPC platformy AWS. |
| VectraId | Identyfikator zasobu przypisany do usługi Vectra AI. |
| Inne | Nie ma na liście typu identyfikatora. |
Na przykład rozwiązanie Azure Monitor VM Insights zawiera informacje o sesjach sieciowych w usłudze VMConnection. Tabela zawiera identyfikator zasobu Azure w _ResourceId polu oraz identyfikator konkretnego urządzenia maszyny wirtualnej Machine w polu. Użyj następującego mapowania, aby przedstawić te identyfikatory:
| Pole | Mapowanie na |
|---|---|
| DvcId | Pole Machine w VMConnection tabeli. |
| DvcIdType | Wartość VMConnectionId |
| DvcAzureResourceId | Pole _ResourceId w VMConnection tabeli. |
Inne pola urządzenia
| Pole | Klasa | Wpisać | Opis |
|---|---|---|---|
| IpAddr | Zalecane | Adres IP | Adres IP urządzenia. Przykład: 45.21.42.12 |
| DvcDescription | Opcjonalny | Ciąg | Opisowy tekst skojarzony z urządzeniem. Przykład: Primary Domain Controller. |
| MacAddr | Opcjonalny | Komputerze mac | Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: 00:1B:44:11:3A:B7 |
| Strefy | Opcjonalny | Ciąg | Sieć, w której wystąpiło zdarzenie lub która zgłosiła zdarzenie, w zależności od schematu. Urządzenie raportowania definiuje strefę. Przykład: Dmz |
| DvcOs | Opcjonalny | Ciąg | System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: Windows |
| DvcOsVersion | Opcjonalny | Ciąg | Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub która zgłosiła zdarzenie. Przykład: 10 |
| DvcAction | Opcjonalny | Ciąg | W przypadku systemów zabezpieczeń raportowania akcja podjęta przez system, jeśli ma zastosowanie. Przykład: Blocked |
| DvcOriginalAction | Opcjonalny | Ciąg | Oryginalna dvcAction dostarczona przez urządzenie raportowania. |
| Interfejs | Opcjonalny | Ciąg | Interfejs sieciowy, na którym przechwycono dane. To pole jest zwykle istotne dla działań związanych z siecią przechwytywanych przez urządzenie pośrednie lub naciśnij. |
Pola nazwane na liście z prefiksem dvc powinny poprzedzać prefiks roli, taki jak Src lub Dst, ale nie powinny poprzedzać drugiego Dvc prefiksu, jeśli jest używany w tej roli.