Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Устройства или узлы — это распространенные термины, используемые для систем, которые принимают участие в событии. Префикс Dvc используется для обозначения основного устройства, на котором происходит событие. Некоторые события, например сетевые сеансы, имеют исходное и целевое устройства, обозначаемые префиксом Src и Dst. В этом случае префикс используется для устройства, Dvc сообщающего о событии, которое может быть источником, назначением или устройством мониторинга.
Псевдонимы устройств
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Dvc, Src, Dst | Обязательный | String | Поля Dvc, "Src" или "Dst" используются в качестве уникального идентификатора устройства. Для него задано значение наилучшего из доступных для устройства. Эти поля могут быть псевдонимами полей FQDN, DvcId, Hostname или IpAddr . Для облачных источников, для которых нет видимого устройства, используйте то же значение, что и поле Продукт события . |
Имя устройства
Сообщаемые имена устройств могут включать только имя узла или полное доменное имя (FQDN), включающее имя узла и доменное имя. Полное доменное имя может быть выражено в нескольких форматах. Следующие поля позволяют поддерживать различные варианты, в которых может быть указано имя устройства.
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| Узла | Рекомендуемый | Hostname (Имя узла) | Короткое имя узла устройства. |
| Домена | Рекомендуемый | String | Домен устройства, на котором произошло событие, без имени узла. |
| DomainType | Рекомендуемый | Перечисленных | Тип домена. Поддерживаемые значения: FQDN и Windows. Это поле является обязательным, если используется поле Домен . |
| Полное доменное имя | Необязательный | String | Полное доменное имя устройства, включая имя узла и домен . Это поле поддерживает как традиционный формат полного доменного имени, так и формат домена и имени узла Windows. В поле DomainType отображается используемый формат. |
Например, вы можете:
| Поле | Значение для входных данных appserver.contoso.com |
значение для входных данных appserver |
|---|---|---|
| Hostname (Имя узла) | appserver |
appserver |
| Домен | contoso.con |
<пусто> |
| DomainType | FQDN |
<пусто> |
| FQDN | appserver.contoso.com |
<пусто> |
Если значение, предоставленное источником, является полным доменным именем, средство синтаксического анализа должно вычислить четыре значения. Это справедливо и в том случае, если значение может быть либо полным доменным именем, либо коротким именем узла. Используйте вспомогательные функции _ASIM_ResolveFQDNASIM , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNи _ASIM_ResolveDvcFQDN , чтобы легко задать все четыре поля на основе одного входного значения. Дополнительные сведения см. в разделе Вспомогательные функции ASIM.
Идентификатор и область устройства
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| DvcId | Необязательный | String | Уникальный идентификатор устройства. Пример: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Необязательный | String | Идентификатор область облачной платформы, к которому принадлежит устройство. Сопоставление области с идентификатором подписки на Azure и идентификатором учетной записи в AWS. |
| Области | Необязательный | String | Облачная платформа область, к которой принадлежит устройство. Сопоставление области с подпиской на Azure и с учетной записью в AWS. |
| DvcIdType | Необязательный | Перечисленных | Тип DvcId. Обычно это поле также определяет тип Scope и ScopeId. Это поле является обязательным, если используется поле DvcId . |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Необязательный | String | Поля, используемые для хранения других идентификаторов устройств, если исходное событие включает несколько идентификаторов устройств. Выберите идентификатор устройства, наиболее связанный с событием, в качестве основного идентификатора, хранящегося в DvcId. |
Имена полей должны префиксировать префикс роли, Src например или Dst, но не должны префиксировать второй Dvc префикс, если он используется в этой роли.
Допустимые значения для типа идентификатора устройства:
| Тип | Описание |
|---|---|
| MDEid | Идентификатор системы, назначенный Microsoft Defender для конечной точки. |
| AzureResourceId | Идентификатор ресурса Azure. |
| MD4IoTid | Идентификатор ресурса Интернета вещей Microsoft Defender. |
| VMConnectionId | Идентификатор ресурса решения Azure Monitor VM Insights. |
| AwsVpcId | Идентификатор AWS VPC. |
| VectraId | Идентификатор ресурса, назначаемого Vectra AI. |
| Other | Тип идентификатора отсутствует в списке. |
Например, решение Azure Monitor VM Insights предоставляет сведения о сетевых сеансах в VMConnection. В таблице содержится Azure идентификатор ресурса в _ResourceId поле и идентификатор устройства аналитики виртуальной Machine машины в поле. Используйте следующее сопоставление для представления этих идентификаторов:
| Поле | Сопоставление с |
|---|---|
| DvcId | Поле Machine в VMConnection таблице. |
| DvcIdType | Значение VMConnectionId |
| DvcAzureResourceId | Поле _ResourceId в VMConnection таблице. |
Другие поля устройства
| Поле | Класс | Тип | Описание |
|---|---|---|---|
| IpAddr | Рекомендуемый | IP-адрес | IP-адрес устройства. Пример: 45.21.42.12 |
| DvcDescription | Необязательный | String | Описательный текст, связанный с устройством. Пример: Primary Domain Controller. |
| MacAddr | Необязательный | MAC | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. Пример: 00:1B:44:11:3A:B7 |
| Зоны | Необязательный | String | Сеть, в которой произошло событие или которая сообщила о событии, в зависимости от схемы. Устройство отчетов определяет зону. Пример: Dmz |
| DvcOs | Необязательный | String | Операционная система, запущенная на устройстве, на котором произошло событие или которое сообщило о событии. Пример: Windows |
| DvcOsVersion | Необязательный | String | Версия операционной системы на устройстве, на котором произошло событие или которое сообщило о событии. Пример: 10 |
| DvcAction | Необязательный | String | Для создания отчетов о системах безопасности — действия, выполняемые системой, если применимо. Пример: Blocked |
| DvcOriginalAction | Необязательный | String | Исходный объект DvcAction , предоставленный устройством отчетов. |
| Интерфейс | Необязательный | String | Сетевой интерфейс, в котором были записаны данные. Это поле обычно относится к действиям, связанным с сетью, которые фиксируются промежуточным устройством или устройством касания. |
Поля с именем в списке с префиксом Dvc должны префиксировать префикс роли, например Src или Dst, но не должны префиксировать второй Dvc префикс, если он используется в этой роли.