Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Cihazlar veya konaklar, olayda yer alan sistemler için kullanılan yaygın terimlerdir. Ön Dvc ek, olayın gerçekleştiği birincil cihazı tanımlamak için kullanılır. Ağ oturumları gibi bazı olaylar, ve ön eki Src tarafından belirlenen kaynak ve Dsthedef cihazlara sahiptir. Böyle bir durumda ön ek, Dvc kaynak, hedef veya izleme cihazı olabilecek olayı bildiren cihaz için kullanılır.
Cihaz diğer adları
| Veri Alanı | Class | Türü | Description |
|---|---|---|---|
| Dvc, Src, Dst | Mandatory | String |
Dvc, 'Src' veya 'Dst' alanları cihazın benzersiz tanımlayıcısı olarak kullanılır. Cihaz için tanımlanan en iyi kullanılabilir değere ayarlanır. Bu alanlar FQDN, DvcId, Hostname veya IpAddr alanlarının diğer adını alabilir. Görünür cihaz bulunmayan bulut kaynakları için Olay Ürünü alanıyla aynı değeri kullanın. |
Cihaz adı
Bildirilen cihaz adları yalnızca bir konak adı veya ana bilgisayar adı ve etki alanı adı içeren tam etki alanı adı (FQDN) içerebilir. FQDN birkaç biçim kullanılarak ifade edilebilir. Aşağıdaki alanlar, cihaz adının sağlanabileceği farklı değişkenlerin desteklenmesini sağlar.
| Veri Alanı | Class | Türü | Description |
|---|---|---|---|
| Ana Bilgisayar Adı | Önerilir | Hostname | Cihazın kısa konak adı. |
| Alan | Önerilir | String | Olayın gerçekleştiği cihazın etki alanı, ana bilgisayar adı olmadan. |
| DomainType | Önerilir | Numaralandırılmış | Etki Alanı türü. Desteklenen değerler ve değerlerini içerir FQDNWindows. Etki alanı kullanılıyorsa bu alan gereklidir. |
| FQDN | Opsiyonel | String | Hem Ana Bilgisayar adıhem de Etki Alanı dahil olmak üzere cihazın FQDN'si. Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. DomainType alanı, kullanılan biçimi yansıtır. |
Örneğin:
| Veri Alanı | Giriş değeri appserver.contoso.com |
giriş değeri appserver |
|---|---|---|
| Ana Bilgisayar Adı | appserver |
appserver |
| Domain | contoso.con |
<boş> |
| DomainType | FQDN |
<boş> |
| FQDN | appserver.contoso.com |
<boş> |
Kaynak tarafından sağlanan değer bir FQDN olduğunda, ayrıştırıcı dört değeri hesaplamalıdır. Bu, değer FQDN veya kısa bir ana isim olduğunda da geçerlidir. Dört alanın tümünü tek bir giriş değerine göre kolayca ayarlamak için ASIM yardımcı işlevlerini _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNve _ASIM_ResolveDvcFQDN kullanın. Daha fazla bilgi için bkz . ASIM yardımcı işlevleri.
Cihaz kimliği ve Kapsamı
| Veri Alanı | Class | Türü | Description |
|---|---|---|---|
| DvcId | Opsiyonel | String | Cihazın benzersiz kimliği. Örneğin: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Opsiyonel | String | Cihazın ait olduğu bulut platformu kapsam kimliği. Kapsam , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| Kapsam | Opsiyonel | String | Cihazın ait olduğu bulut platformu kapsamı. Kapsam , Azure'da bir aboneliğe ve AWS'de bir hesaba eşler. |
| DvcIdType | Opsiyonel | Numaralandırılmış | DvcId türü. Genellikle bu alan aynı zamanda Scope ve ScopeId türlerini de belirler. DvcId alanı kullanılıyorsa bu alan gereklidir. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Opsiyonel | String | Orijinal olay birden fazla cihaz kimliği içeriyorsa, diğer cihaz kimliklerini depolamak için kullanılan alanlar. Olayla en çok ilişkili cihaz kimliğini DvcId'de depolanan birincil kimlik olarak seçin. |
Alan adları gibi bir rol öneki SrcDstveya , ile birlikte olmalı, ancak o rolde kullanılıyorsa ikinci Dvc bir ön ekin ön eki eklememelidir.
Cihaz kimliği türü için izin verilen değerler şunlardır:
| Türü | Description |
|---|---|
| MDEid | Uç Nokta için Microsoft Defender tarafından atanan sistem kimliği. |
| AzureResourceId | Azure kaynak kimliği. |
| MD4IoTid | IoT için Microsoft Defender kaynak kimliği. |
| VMConnectionId | Azure İzleyici VM Insights çözümü kaynak kimliği. |
| AwsVpcId | AWS VPC Kimliği. |
| VectraId | Vectra AI tarafından atanan kaynak kimliği. |
| Diğer | Bir kimlik tipi listelenmemiş. |
Örneğin, Azure İzleyici VM Insights çözümü içinde VMConnectionağ oturumları bilgileri sağlar. Tablo, alanında bir Azure Kaynak Kimliği _ResourceId ve alanda vm içgörülerine özgü cihaz kimliği Machine sağlar. Bu kimlikleri temsil etmek için aşağıdaki eşlemeyi kullanın:
| Veri Alanı | Eşle |
|---|---|
| DvcId |
Machine Tablodaki VMConnection alan. |
| DvcIdType | Değer VMConnectionId |
| DvcAzureResourceId |
_ResourceId Tablodaki VMConnection alan. |
Diğer cihaz alanları
| Veri Alanı | Class | Türü | Description |
|---|---|---|---|
| IpAddr | Önerilir | IP address | Cihazın IP adresi. Örnek: 45.21.42.12 |
| DvcDescription | Opsiyonel | String | Cihazla ilişkilendirilmiş açıklayıcı bir metin. Örneğin: Primary Domain Controller. |
| MacAddr | Opsiyonel | MAC | Olayın gerçekleştiği veya olayı bildirdiği cihazın MAC adresi. Örnek: 00:1B:44:11:3A:B7 |
| Bölge | Opsiyonel | String | Şemaya bağlı olarak olayın gerçekleştiği veya olayı bildirdiği ağ. Raporlama cihazı bölgeyi tanımlar. Örnek: Dmz |
| DvcOs | Opsiyonel | String | Olayın oluştuğu veya olayı bildirdiği cihazda çalışan işletim sistemi. Örnek: Windows |
| DvcOsVersion | Opsiyonel | String | Olayın gerçekleştiği veya olayı bildirdiği cihazdaki işletim sisteminin sürümü. Örnek: 10 |
| DvcAction | Opsiyonel | String | Raporlama güvenlik sistemleri için, varsa sistem tarafından gerçekleştirilen eylem. Örnek: Blocked |
| DvcOriginalAction | Opsiyonel | String | Raporlama cihazı tarafından sağlanan özgün DvcAction . |
| Arayüz | Opsiyonel | String | Verilerin toplandığı ağ arabirimi. Bu alan genellikle ara veya tap cihazı tarafından yakalanan ağ ile ilgili faaliyetlerle ilgilidir. |
Listede Dvc preekiyle adlandırılan alanlar, örneğin veya Dst, gibi bir rol önekinin Src önekini eklemelidir, ancak o rolde kullanılırsa ikinci Dvc bir önek eklememelidir.