Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Enheter, eller värdar, är vanliga termer som används för de system som deltar i händelsen. Prefixet Dvc används för att ange den primära enhet där händelsen inträffar. Vissa händelser, till exempel nätverkssessioner, har käll- och målenheter som anges av prefixet Src och Dst. I så fall används prefixet Dvc för enheten som rapporterar händelsen, som kan vara källan, målet eller en övervakningsenhet.
Enhetsalias
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Dvc, Src, Dst | Obligatorisk | Sträng | Fälten Dvc, "Src" eller "Dst" används som en unik identifierare för enheten. Den är inställd på det bästa tillgängliga som identifierats för enheten. De här fälten kan ha alias för fälten FQDN, DvcId, Hostname eller IpAddr . För molnkällor, för vilka det inte finns någon uppenbar enhet, använder du samma värde som fältet Händelseprodukt . |
Enhetsnamnet
Rapporterade enhetsnamn kan innehålla endast ett värdnamn eller ett fullständigt kvalificerat domännamn (FQDN), som innehåller ett värdnamn och ett domännamn. FQDN kan uttryckas med flera format. Följande fält aktiverar stöd för de olika varianter där enhetsnamnet kan anges.
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Värdnamn | Rekommenderas | Hostname | Enhetens korta värdnamn. |
| Domän | Rekommenderas | Sträng | Domänen för den enhet där händelsen inträffade, utan värdnamnet. |
| DomainType | Rekommenderas | Uppräknade | Typ av domän. Värden som stöds är FQDN och Windows. Det här fältet krävs om fältet Domän används. |
| FQDN | Valfritt | Sträng | FQDN för enheten, inklusive både värdnamn och domän . Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnformat. Fältet DomainType återspeglar det format som används. |
Till exempel:
| Fält | Värde för indata appserver.contoso.com |
värde för indata appserver |
|---|---|---|
| Hostname | appserver |
appserver |
| Domän | contoso.con |
<Tom> |
| DomainType | FQDN |
<Tom> |
| FQDN | appserver.contoso.com |
<Tom> |
När värdet som tillhandahålls av källan är ett fullständigt domännamn ska parsern beräkna de fyra värdena. Detta gäller även när värdet kan vara antingen och FQDN eller ett kort värdnamn. Använd ASIM-hjälpfunktionerna _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNoch _ASIM_ResolveDvcFQDN för att enkelt ange alla fyra fälten baserat på ett enda indatavärde. Mer information finns i ASIM-hjälpfunktioner.
Enhets-ID och omfång
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| DvcId | Valfritt | Sträng | Enhetens unika ID. Till exempel: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| Scopeid | Valfritt | Sträng | Molnplattformens omfångs-ID som enheten tillhör. Omfångskarta till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| Omfattning | Valfritt | Sträng | Molnplattformsomfånget som enheten tillhör. Omfångskarta till en prenumeration på Azure och till ett konto på AWS. |
| DvcIdType | Valfritt | Uppräknade | Typ av DvcId. Vanligtvis identifierar det här fältet även typen av Omfång och ScopeId. Det här fältet krävs om fältet DvcId används. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Valfritt | Sträng | Fält som används för att lagra andra enhets-ID:n, om den ursprungliga händelsen innehåller flera enhets-ID:n. Välj det enhets-ID som är mest associerat med händelsen som primärt ID som lagras i DvcId. |
Fältnamn bör förbereda ett rollprefix som Src eller Dst, men bör inte förbereda ett andra Dvc prefix om det används i den rollen.
De tillåtna värdena för en enhets-ID-typ är:
| Typ | Beskrivning |
|---|---|
| MDEid | System-ID som tilldelats av Microsoft Defender för Endpoint. |
| AzureResourceId | Resurs-ID för Azure. |
| MD4IoTid | Microsoft Defender för IoT-resurs-ID. |
| VMConnectionId | Resurs-ID för Azure Övervaka VM Insights-lösningen. |
| AwsVpcId | Ett AWS VPC-ID. |
| VectraId | Ett Vectra AI-tilldelat resurs-ID. |
| Övrigt | En ID-typ visas inte. |
Till exempel tillhandahåller Azure Monitor VM Insights-lösningen information om nätverkssessioner i VMConnection. Tabellen innehåller ett Azure resurs-ID i _ResourceId fältet och en VM-insiktsspecifikt enhets-ID i Machine fältet. Använd följande mappning för att representera dessa ID:ar:
| Fält | Mappa till |
|---|---|
| DvcId | Fältet Machine i tabellen VMConnection . |
| DvcIdType | Värdet VMConnectionId |
| DvcAzureResourceId | Fältet _ResourceId i tabellen VMConnection . |
Andra enhetsfält
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| IpAddr | Rekommenderas | IP-adress | IP-adressen för enheten. Exempel: 45.21.42.12 |
| DvcDescription | Valfritt | Sträng | En beskrivande text som är associerad med enheten. Till exempel: Primary Domain Controller. |
| MacAddr | Valfritt | MAC | MAC-adressen för enheten där händelsen inträffade eller som rapporterade händelsen. Exempel: 00:1B:44:11:3A:B7 |
| Zon | Valfritt | Sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. Rapporteringsenheten definierar zonen. Exempel: Dmz |
| DvcOs | Valfritt | Sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. Exempel: Windows |
| DvcOsVersion | Valfritt | Sträng | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. Exempel: 10 |
| DvcAction | Valfritt | Sträng | För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet, om tillämpligt. Exempel: Blocked |
| DvcOriginalAction | Valfritt | Sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| Gränssnitt | Valfritt | Sträng | Nätverksgränssnittet där data hämtades. Det här fältet är vanligtvis relevant för nätverksrelaterad aktivitet som samlas in av en mellanliggande enhet eller tryckenhet. |
Fält med namnet i listan med Dvc-prefixet bör förbereda ett rollprefix som Src eller Dst, men bör inte förbereda ett andra Dvc prefix om det används i den rollen.