Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Cihazlar veya konaklar, etkinliğe katılınan sistemler için kullanılan yaygın terimlerdir. Ön Dvc ek, olayın gerçekleştiği birincil cihazı tanımlamak için kullanılır. Ağ oturumları gibi bazı olaylar, ve ön eki Src tarafından belirlenen kaynak ve Dsthedef cihazlara sahiptir. Böyle bir durumda ön ek, Dvc kaynak, hedef veya izleme cihazı olabilecek olayı bildiren cihaz için kullanılır.
Cihaz diğer adları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Dvc, Src, Dst | Zorunlu | Dize |
Dvc, 'Src' veya 'Dst' alanları cihazın benzersiz tanımlayıcısı olarak kullanılır. Cihaz için tanımlanan en iyi kullanılabilir değere ayarlanır. Bu alanlar FQDN, DvcId, Hostname veya IpAddr alanlarını diğer adla adlandırabilir. Görünür cihaz bulunmayan bulut kaynakları için Olay Ürünü alanıyla aynı değeri kullanın. |
Cihaz adı
Bildirilen cihaz adları yalnızca bir konak adı veya bir konak adı ve etki alanı adı içeren tam etki alanı adı (FQDN) içerebilir. FQDN çeşitli biçimler kullanılarak ifade edilebilir. Aşağıdaki alanlar, cihaz adının sağlanabileceği farklı değişkenlerin desteklenmesini sağlar.
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Hostname | Önerilen | Ana bilgisayar adı | Cihazın kısa konak adı. |
| Etki alanı | Önerilen | Dize | Ana bilgisayar adı olmadan olayın gerçekleştiği cihazın etki alanı. |
| Domaintype | Önerilen | Numaralandırılmış |
Etki Alanı türü. Desteklenen değerler ve Windowsdeğerlerini içerirFQDN.
Etki alanı kullanılıyorsa bu alan gereklidir. |
| FQDN | İsteğe bağlı | Dize | Hem Hostname hem de Domain dahil olmak üzere cihazın FQDN'si. Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. DomainType alanı, kullanılan biçimi yansıtır. |
Örneğin:
| Alan | Giriş değeri appserver.contoso.com |
giriş değeri appserver |
|---|---|---|
| Ana Bilgisayar Adı | appserver |
appserver |
| Etki alanı | contoso.con |
<Boş> |
| Domaintype | FQDN |
<Boş> |
| FQDN | appserver.contoso.com |
<Boş> |
Kaynak tarafından sağlanan değer bir FQDN olduğunda ayrıştırıcı dört değeri hesaplamalıdır. Bu, değer veya FQDN ya da kısa bir konak adı olduğunda da geçerlidir. Dört alanın tümünü tek bir giriş değerine göre kolayca ayarlamak için , , _ASIM_ResolveDstFQDNve _ASIM_ResolveDvcFQDN ASIM yardımcı işlevlerini _ASIM_ResolveFQDN_ASIM_ResolveSrcFQDNkullanın. Daha fazla bilgi için bkz. ASIM yardımcı işlevleri.
Cihaz kimliği ve Kapsamı
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| DvcId | İsteğe bağlı | Dize | Cihazın benzersiz kimliği. Örneğin: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| Scopeıd | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsam kimliği. Kapsam, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| Kapsam | İsteğe bağlı | Dize | Cihazın ait olduğu bulut platformu kapsamı. Kapsam, Azure'teki bir aboneliğe ve AWS'de bir hesaba eşler. |
| DvcIdType | İsteğe bağlı | Numaralandırılmış | DvcId türü. Bu alan genellikle Scope ve ScopeId türlerini de tanımlar. DvcId alanı kullanılıyorsa bu alan gereklidir. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | İsteğe bağlı | Dize | Özgün olay birden çok cihaz kimliği içeriyorsa, diğer cihaz kimliklerini depolamak için kullanılan alanlar. Olayla en çok ilişkili cihaz kimliğini DvcId'de depolanan birincil kimlik olarak seçin. |
Alan adları veya Dstgibi Src bir rol ön eki eklemeli, ancak bu rolde kullanılıyorsa ikinci Dvc bir ön ek eklememelidir.
Cihaz kimliği türü için izin verilen değerler şunlardır:
| Tür | Açıklama |
|---|---|
| MDEid | Uç Nokta için Microsoft Defender tarafından atanan sistem kimliği. |
| AzureResourceId | Azure kaynak kimliği. |
| MD4IoTid | IoT kaynak kimliği için Microsoft Defender. |
| VMConnectionId | vm içgörülerini izleme çözüm kaynak kimliği Azure. |
| AwsVpcId | AWS VPC Kimliği. |
| VectraId | Vectra AI tarafından atanan kaynak kimliği. |
| Diğer | Listelenmeyen bir kimlik türü. |
Örneğin, vm içgörülerini izleme Azure çözümü içinde VMConnectionağ oturumları bilgilerini sağlar. Tablo, alanda bir Azure Kaynak Kimliği _ResourceId ve alanda VM içgörülerine özgü bir cihaz kimliği Machine sağlar. Bu kimlikleri temsil etmek için aşağıdaki eşlemeyi kullanın:
| Alan | Eşle |
|---|---|
| DvcId |
Machine Tablodaki VMConnection alan. |
| DvcIdType | Değer VMConnectionId |
| DvcAzureResourceId |
_ResourceId Tablodaki VMConnection alan. |
Diğer cihaz alanları
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| IpAddr | Önerilen | IP adresi | Cihazın IP adresi. Örnek: 45.21.42.12 |
| DvcDescription | İsteğe bağlı | Dize | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
| MacAddr | İsteğe bağlı | MAC | Olayın gerçekleştiği veya olayı bildirdiği cihazın MAC adresi. Örnek: 00:1B:44:11:3A:B7 |
| Bölge | İsteğe bağlı | Dize | Şemaya bağlı olarak olayın oluştuğu veya olayı bildirdiği ağ. Raporlama cihazı bölgeyi tanımlar. Örnek: Dmz |
| DvcO'lar | İsteğe bağlı | Dize | Olayın oluştuğu veya olayı bildirdiği cihazda çalışan işletim sistemi. Örnek: Windows |
| DvcOsVersion | İsteğe bağlı | Dize | Olayın oluştuğu veya olayı bildirdiği cihazdaki işletim sisteminin sürümü. Örnek: 10 |
| DvcAction | İsteğe bağlı | Dize | Güvenlik sistemlerini raporlamak için, sistem tarafından gerçekleştirilen eylem (varsa). Örnek: Blocked |
| DvcOriginalAction | İsteğe bağlı | Dize | Raporlama cihazı tarafından sağlanan özgün DvcAction . |
| Arabirim | İsteğe bağlı | Dize | Verilerin yakalandığı ağ arabirimi. Bu alan genellikle bir ara veya dokunma cihazı tarafından yakalanan ağ ile ilgili etkinlikle ilgilidir. |
Listede Dvc ön ekiyle adlandırılan alanlar veya Dstgibi Src bir rol ön eki eklemeli, ancak bu rolde kullanılıyorsa ikinci Dvc bir ön ek eklememelidir.