Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Dispositivos, ou hosts, são os termos comuns usados para os sistemas que participam do evento. O Dvc prefixo é usado para designar o dispositivo primário no qual o evento ocorre. Alguns eventos, como sessões de rede, têm dispositivos de origem e destino, designados pelo prefixo Src e Dst. Nesse caso, o prefixo Dvc é usado para o dispositivo que relata o evento, que pode ser a origem, o destino ou um dispositivo de monitoramento.
Os aliases do dispositivo
| Campo | Class | Tipo | Description |
|---|---|---|---|
| Dvc, Src, Dst | Mandatory | Corda | Os Dvccampos , 'Src' ou 'Dst' são usados como um identificador exclusivo do dispositivo. Está configurado como o melhor disponível para o dispositivo. Esses campos podem usar o alias dos campos FQDN, DvcId, Hostname ou IpAddr . Para fontes de nuvem, para as quais não há um dispositivo aparente, use o mesmo valor que o campo Produto do evento . |
O nome do dispositivo
Os nomes de dispositivos relatados podem incluir apenas um nome de host ou um nome de domínio totalmente qualificado (FQDN), que inclui um nome de host e um nome de domínio. O FQDN pode ser expresso usando vários formatos. Os campos a seguir permitem suportar as diferentes variantes nas quais o nome do dispositivo pode ser fornecido.
| Campo | Class | Tipo | Description |
|---|---|---|---|
| Nome do host | Recomendado | Hostname | O nome de host curto do dispositivo. |
| Domínio | Recomendado | Corda | O domínio do dispositivo no qual o evento ocorreu, sem o nome do host. |
| Tipo de domínio | Recomendado | Enumerado | O tipo de domínio. Os valores suportados incluem FQDN e Windows. Este campo é obrigatório se o campo Domínio for usado. |
| FQDN | Opcional | Corda | O FQDN do dispositivo, incluindo Hostname e Domain . Este campo suporta o formato FQDN tradicional e o formato domínio\nome de host do Windows. O campo DomainType reflete o formato usado. |
Por exemplo:
| Campo | Valor da entrada appserver.contoso.com |
valor para entrada appserver |
|---|---|---|
| Nome do host | appserver |
appserver |
| Domain | contoso.con |
<vazio> |
| DomainType | FQDN |
<vazio> |
| FQDN | appserver.contoso.com |
<vazio> |
Quando o valor fornecido pela fonte é um FQDN, o analisador deve calcular os quatro valores. Isto é verdade também quando o valor pode ser um FQDN ou um nome de host curto. Use as funções _ASIM_ResolveFQDNauxiliares do ASIM , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNe _ASIM_ResolveDvcFQDN para definir facilmente todos os quatro campos com base em um único valor de entrada. Para obter mais informações, consulte Funções auxiliares do ASIM.
O ID e o Âmbito do Dispositivo
| Campo | Class | Tipo | Description |
|---|---|---|---|
| DvcId | Opcional | Corda | O ID único do dispositivo. Por exemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Opcional | Corda | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. Mapa de escopo para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| Âmbito de aplicação | Opcional | Corda | O escopo da plataforma de nuvem ao qual o dispositivo pertence. Mapa de escopo para uma assinatura no Azure e para uma conta na AWS. |
| DvcIdType | Opcional | Enumerado | O tipo de DvcId. Normalmente, este campo também identifica o tipo de Scope e ScopeId. Este campo é obrigatório se o campo DvcId for usado. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Opcional | Corda | Campos usados para armazenar outros IDs de dispositivo, se o evento original incluir múltiplos IDs de dispositivo. Selecione o ID do dispositivo mais associado ao evento como o ID principal armazenado no DvcId. |
Os nomes dos campos devem anteceder um prefixo de função como Src ou Dst, mas não devem anteceder um segundo Dvc prefixo se usados nesse papel.
Os valores permitidos para um tipo de ID de dispositivo são:
| Tipo | Description |
|---|---|
| MDEid | A ID do sistema atribuída pelo Microsoft Defender for Endpoint. |
| AzureResourceId | A ID de recurso do Azure. |
| MD4IoTid | O ID de recurso do Microsoft Defender para IoT. |
| VMConnectionId | A ID de recurso da solução Azure Monitor VM Insights. |
| AwsVpcId | Um ID de VPC da AWS. |
| VectraId | Um ID de recurso atribuído pela Vectra AI. |
| Outros | Um tipo de identificação não listado. |
Por exemplo, a solução Azure Monitor VM Insights fornece informações de sessões de rede no VMConnection. A tabela fornece uma ID de Recurso Azure no campo _ResourceId e uma ID de dispositivo específica do VM Insights no campo Machine. Use o seguinte mapeamento para representar essas IDs:
| Campo | Mapa para |
|---|---|
| DvcId | O campo Machine na tabela VMConnection. |
| DvcIdType | O valor VMConnectionId |
| DvcAzureResourceId | O campo _ResourceId na tabela VMConnection. |
Outros campos de dispositivos
| Campo | Class | Tipo | Description |
|---|---|---|---|
| IpAddr | Recomendado | endereço IP | O endereço IP do dispositivo. Exemplo: 45.21.42.12 |
| DvcDescrição | Opcional | Corda | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| MacAddr | Opcional | MAC | O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. Exemplo: 00:1B:44:11:3A:B7 |
| Zona | Opcional | Corda | A rede na qual o evento ocorreu ou que relatou o evento, dependendo do esquema. O dispositivo de reporte define a zona. Exemplo: Dmz |
| DvcOs | Opcional | Corda | O sistema operacional em execução no dispositivo no qual o evento ocorreu ou que relatou o evento. Exemplo: Windows |
| DvcOsVersion | Opcional | Corda | A versão do sistema operacional no dispositivo no qual o evento ocorreu ou que relatou o evento. Exemplo: 10 |
| DvcAction | Opcional | Corda | Para relatar o funcionamento de sistemas de segurança, a ação tomada pelo sistema, caso pertinente. Exemplo: Blocked |
| DvcOriginalAction | Opcional | Corda | O DvcAction original, tal como fornecido pelo dispositivo de reporte. |
| Interface | Opcional | Corda | A interface de rede na qual os dados foram capturados. Este campo é tipicamente relevante para atividades relacionadas com a rede captadas por um dispositivo intermédio ou tap. |
Os campos nomeados na lista com o prefixo Dvc devem anteceder um prefixo de função como Src ou Dst, mas não devem antepender um segundo Dvc prefixo se usados nesse papel.