Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Устройства, или узлы — это общие термины, которые обозначают системы, участвующие в событии. Префикс Dvc используется для назначения основного устройства, на котором происходит событие. У некоторых событий, таких как сетевые сеансы, есть устройства источника и назначения, обозначаемые префиксом Src и Dst. В таком случае префикс Dvc используется для устройства, сообщающего о событии, которое может быть исходным или целевым устройством либо устройством мониторинга.
Псевдонимы устройства
| Поле | Class | Тип | Description |
|---|---|---|---|
| Dvc, , Dst | Mandatory | String | Поля Dvc, Src и Dst используются в качестве уникального идентификатора устройства. В качестве него выбирается вариант, лучше всего подходящий для устройства. Эти поля могут быть псевдонимами полей FQDN, DvcId, Hostname и IpAddr. Для облачных источников, если событие не связано с конкретным устройством, указывайте то же значение, что и в поле Event Product. |
Имя устройства
Передаваемые имена устройств могут содержать только имя узла или являться полным доменным именем (FQDN), которое включает имя узла и доменное имя. Полное доменное имя может задаваться в нескольких форматах. Перечисленные ниже поля применяются для передачи различных вариантов имени устройства.
| Поле | Class | Тип | Description |
|---|---|---|---|
| Имя узла | Recommended | Имя хоста | Короткое имя узла устройства. |
| Домен | Recommended | String | Домен устройства, на котором произошло событие, без имени узла. |
| DomainType | Recommended | Перечислено | Тип домена. Поддерживаются следующие значения: FQDN и Windows. Это поле является обязательным, если используется поле Domain. |
| Полное доменное имя | Необязательно | String | Полное доменное имя устройства, включая имя узла и домен. Это поле поддерживает как традиционные форматы FQDN, так и формат domain\hostname в Windows. Поле DomainType отражает используемый формат. |
Рассмотрим пример.
| Поле | Значение для входных данных appserver.contoso.com |
значение для входных данных appserver |
|---|---|---|
| Имя узла | appserver |
appserver |
| Domain | contoso.con |
<пустой> |
| DomainType | FQDN |
<пустой> |
| FQDN | appserver.contoso.com |
<пустой> |
Когда значение, предоставленное источником, является FQDN, парсер должен вычислить четыре значения. Это также верно, когда значение может быть либо и FQDN, либо короткое имя хоста. Используйте вспомогательные функции ASIM _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDN и _ASIM_ResolveDvcFQDN, чтобы легко задать все четыре поля на основе одного входного значения. Дополнительные сведения см. в разделе о вспомогательные функции ASIM.
Идентификатор устройства и область
| Поле | Class | Тип | Description |
|---|---|---|---|
| DvcId | Необязательно | String | Уникальный идентификатор устройства. Например: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Необязательно | String | Идентификатор области облачной платформы, к которому принадлежит устройство. Область сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| Область применения | Необязательно | String | Область облачной платформы, к которой принадлежит устройство. Область сопоставления с подпиской в Azure и учетной записью в AWS. |
| DvcIdType | Необязательно | Перечислено | Тип DvcId. Обычно это поле также определяет тип Scope и ScopeId. Это поле является обязательным, если используется поле DvcId. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Необязательно | String | Поля, используемые для хранения других идентификаторов устройств, если исходное событие включает несколько идентификаторов устройств. Выберите идентификатор, наиболее связанный с событием, в качестве основного идентификатора устройства, сохраняемого в поле DvcId. |
Имена полей должны иметь префикс роли, например Src или Dst, но не должны добавлять второй Dvc префикс, если используется в этой роли.
Допустимые значения для типа идентификатора устройства:
| Тип | Description |
|---|---|
| MDEid | Идентификатор системы, назначенный решением Microsoft Defender для конечной точки. |
| AzureResourceId | ИД ресурса Azure. |
| MD4IoTid | Идентификатор ресурса Microsoft Defender для Интернета вещей. |
| VMConnectionId | Идентификатор ресурса решения аналитики виртуальных машин Azure Monitor. |
| AwsVpcId | Идентификатор VPC AWS. |
| VectraId | Назначенный идентификатор ресурса ИИ Vectra. |
| Другое | Тип удостоверения личности не указан. |
Например, решение аналитики виртуальных машин Azure Monitor предоставляет сведения о сетевых сеансах в объекте VMConnection. Таблица содержит идентификатор ресурса Azure в поле _ResourceId и идентификатор конкретного устройства аналитики виртуальных машин в поле Machine. Для представления этих идентификаторов используйте следующее сопоставление:
| Поле | Сопоставить со |
|---|---|
| DvcId | Поле Machine в таблице VMConnection. |
| DvcIdType | Значение VMConnectionId |
| DvcAzureResourceId | Поле _ResourceId в таблице VMConnection. |
Другие поля устройств
| Поле | Class | Тип | Description |
|---|---|---|---|
| IpAddr | Recommended | IP-адрес | IP-адрес устройства. Пример: 45.21.42.12 |
| DvcОписание | Необязательно | String | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| MacAddr | Необязательно | МАК | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. Пример: 00:1B:44:11:3A:B7 |
| Зона | Необязательно | String | Сеть, в которой произошло событие или которая сообщила о событии, в зависимости от схемы. Устройство отчётности определяет зону. Пример: Dmz |
| DvcOs | Необязательно | String | Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. Пример: Windows |
| DvcOsVersion | Необязательно | String | Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. Пример: 10 |
| DvcAction | Необязательно | String | Для передающих систем безопасности — действие, предпринимаемое системой (если применимо). Пример: Blocked |
| DvcOriginalAction | Необязательно | String | Исходное действие DvcAction, предоставленное передающим устройством. |
| Интерфейс | Необязательно | String | Сетевой интерфейс, на котором фиксировались данные. Это поле обычно относится к сетевой активности, захваченной промежуточным или точным устройством. |
Поля, названные в списке с префиксом Dvc, должны иметь префикс роли, например Src или Dst, но не должны иметь второй Dvc префикс, если используется в этой роли.