裝置或主機為常見詞彙,用於參與事件的系統。
Dvc 前置詞用來指定事件發生的主要裝置。 某些事件 (例如網路工作階段) 具有由前置詞 Src 和 Dst 所指定的來源和目的地裝置。 在這種情況下,Dvc 前置詞會用於報告事件的裝置,其可能是來源、目的地或監視裝置。
裝置別名
| 領域 | Class | 類型 | Description |
|---|---|---|---|
| Dvc、Src、Dst | 強制的 | 繩子 |
Dvc、'Src' 或 'Dst' 欄位會作為裝置的唯一識別碼使用。 此欄位會設定為裝置的最佳可用識別。 這些欄位可以作為 FQDN、DvcId、Hostname 或 IpAddr 欄位的別名。 針對沒有明顯裝置的雲端來源,請使用與 [事件產品] 欄位相同的值。 |
裝置名稱
報告的裝置名稱只能包含主機名稱,或完整網域名稱 (FQDN),FQDN 中包含主機名稱和網域名稱。 FQDN 可能會使用數種格式來表示。 下列欄位可支援可能提供裝置名稱的不同變數。
| 領域 | Class | 類型 | Description |
|---|---|---|---|
| 主機名稱 | Recommended | Hostname | 裝置的簡短主機名稱。 |
| 網域 | Recommended | 繩子 | 裝置的網域 (事件在此裝置上發生),不含主機名稱。 |
| 網域類型 | Recommended | 列舉 |
Domain 的類型。 支援的值包括 FQDN 和 Windows。 若使用 Domain 欄位,則需要此欄位。 |
| FQDN | 可選 | 繩子 | 裝置的 FQDN 包含 Hostname 和 Domain。 此欄位同時支援傳統 FQDN 格式和 Windows 網域\主機名稱格式。 DomainType 欄位會反映所使用的格式。 |
例如:
| 領域 | 輸入 appserver.contoso.com 的值 |
輸入 appserver 的值 |
|---|---|---|
| 主機名稱 | appserver |
appserver |
| Domain | contoso.con |
<空> |
| DomainType | FQDN |
<空> |
| FQDN | appserver.contoso.com |
<空> |
當來源提供的值為 FQDN 時,解析器應計算這四個值。 當值可能是 FQDN 或短主機名稱時,這點同樣適用。 您可使用 ASIM 協助程式函數 _ASIM_ResolveFQDN、_ASIM_ResolveSrcFQDN、_ASIM_ResolveDstFQDN 和 _ASIM_ResolveDvcFQDN,根據單一輸入值輕鬆設定四個欄位。 如需詳細資訊,請參閱 ASIM 協助程式函數。
裝置識別碼和範圍
| 領域 | Class | 類型 | Description |
|---|---|---|---|
| DVCID | 可選 | 繩子 | 裝置的唯一識別碼。 例如:41502da5-21b7-48ec-81c9-baeea8d7d669 |
| 範圍識別 | 可選 | 繩子 | 裝置所屬的雲端平台範圍識別碼。 範圍對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| 範圍 | 可選 | 繩子 | 裝置所屬的雲端平台範圍。 範圍對應至 Azure 上的訂用帳戶,以及 AWS 上的帳戶。 |
| DvcId類型 | 可選 | 列舉 | DvcId 的類型。 通常此欄位也會識別 範圍(Scope )與 ScopeId(範圍ID)的類型。 若使用 DvcId,則需要此欄位。 |
| DvcAzureResourceId、DvcMDEid、DvcMD4IoTid、DvcVMConnectionId、DvcVectraId、DvcAwsVpcId | 可選 | 繩子 | 若原始事件包含多個裝置 ID,則用於儲存其他裝置 ID。 請選取和事件關聯性最高的裝置識別碼,作為儲存在 DvcId 中的主要識別碼。 |
欄位名稱應置於角色前綴前,如 Src 或 Dst,但若在該角色中使用,則不應置於第二個 Dvc 前綴前。
裝置識別碼類型的允許值為:
| 類型 | Description |
|---|---|
| MDEid | 由適用於端點的 Microsoft Defender 所指派的系統識別碼。 |
| AzureResourceId | Azure 資源識別碼。 |
| MD4IoTid | 適用於 IoT 的 Microsoft Defender 資源識別碼。 |
| VMConnectionId | Azure 監視器 VM 深入解析解決方案資源識別碼。 |
| AwsVpcId | AWS VPC 識別碼。 |
| VectraId | Vectra AI 指派的資源識別碼。 |
| 其他 | 沒有列出身份證類型。 |
例如,Azure 監視器 VM 深入解析解決方案會在 VMConnection 中提供網路工作階段資訊。 下表提供 _ResourceId 欄位中的 Azure 資源識別碼,以及 Machine 欄位中的 VM 深入解析特定裝置識別碼。 請使用下列對應來表示這些識別碼:
| 領域 | 對應至 |
|---|---|
| DvcId |
Machine 資料表中的 VMConnection 欄位。 |
| DvcIdType |
VMConnectionId 值 |
| DvcAzureResourceId |
_ResourceId 資料表中的 VMConnection 欄位。 |
其他裝置領域
| 領域 | Class | 類型 | Description |
|---|---|---|---|
| IpAddr | Recommended | IP 位址 | 裝置的 IP 位址。 範例: 45.21.42.12 |
| Dvc說明 | 可選 | 繩子 | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| 麥卡德爾 | 可選 | 麥克 | 發生事件或報告事件裝置的 MAC 位址,視結構描述而定。 範例: 00:1B:44:11:3A:B7 |
| 地帶 | 可選 | 繩子 | 發生事件或報告事件裝置的網路,視結構描述而定。 報告裝置定義了區域。 範例: Dmz |
| DvcOS | 可選 | 繩子 | 在發生事件或報告事件裝置的作業系統執行。 範例: Windows |
| DvcOs版本 | 可選 | 繩子 | 在發生事件或報告事件裝置的作業系統版本。 範例: 10 |
| Dvc動作 | 可選 | 繩子 | 針對報告安全性系統,如果適用,則為系統所採取的動作。 範例: Blocked |
| DVC原創行動 | 可選 | 繩子 | 報告裝置所提供原始的 DvcAction。 |
| 界面 | 可選 | 繩子 | 擷取資料的網路介面。 此欄位通常與中介或竊聽裝置擷取的網路相關活動相關。 |
列表中以 DVC 前綴命名的欄位應先加於角色前綴如 Src 或 Dst,但若在該角色中使用,則不應加重第二個 Dvc 前綴。