Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I dispositivi, o host, sono i termini comuni usati per i sistemi che partecipano all'evento. Il Dvc prefisso viene usato per designare il dispositivo primario in cui si verifica l'evento. Alcuni eventi, ad esempio le sessioni di rete, hanno dispositivi di origine e di destinazione, designati dal prefisso Src e Dst. In questo caso, il Dvc prefisso viene usato per il dispositivo che segnala l'evento, che potrebbe essere l'origine, la destinazione o un dispositivo di monitoraggio.
Alias del dispositivo
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Dvc, Src, Dst | Obbligatorio | Stringa | I Dvccampi , 'Src' o 'Dst' vengono usati come identificatore univoco del dispositivo. È impostato sul migliore disponibile identificato per il dispositivo. Questi campi possono aliasare i campi FQDN, DvcId, Hostname o IpAddr . Per le origini cloud, per le quali non esiste un dispositivo apparente, usare lo stesso valore del campo Prodotto evento . |
Nome del dispositivo
I nomi di dispositivo segnalati possono includere solo un nome host o un nome di dominio completo (FQDN), che include un nome host e un nome di dominio. Il nome di dominio completo può essere espresso usando diversi formati. I campi seguenti consentono di supportare le diverse varianti in cui potrebbe essere specificato il nome del dispositivo.
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| Hostname | Consigliata | Nome host | Nome host breve del dispositivo. |
| Dominio | Consigliata | Stringa | Dominio del dispositivo in cui si è verificato l'evento, senza il nome host. |
| Domaintype | Consigliata | Enumerato | Tipo di dominio. I valori supportati includono FQDN e Windows. Questo campo è obbligatorio se viene utilizzato il campo Dominio . |
| FQDN | Facoltativo | Stringa | Nome di dominio completo del dispositivo, inclusi nome host e dominio . Questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. Il campo DomainType riflette il formato utilizzato. |
Ad esempio:
| Campo | Valore per l'input appserver.contoso.com |
valore per l'input appserver |
|---|---|---|
| Hostname | appserver |
appserver |
| Dominio | contoso.con |
<Vuoto> |
| Domaintype | FQDN |
<Vuoto> |
| FQDN | appserver.contoso.com |
<Vuoto> |
Quando il valore fornito dall'origine è un FQDN, il parser deve calcolare i quattro valori. Questo vale anche quando il valore può essere FQDN o un nome host breve. Usare le funzioni _ASIM_ResolveFQDNhelper ASIM , , _ASIM_ResolveDstFQDN_ASIM_ResolveSrcFQDNe per impostare facilmente tutti e _ASIM_ResolveDvcFQDN quattro i campi in base a un singolo valore di input. Per altre informazioni, vedere Funzioni helper ASIM.
ID dispositivo e ambito
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| DvcId | Facoltativo | Stringa | ID univoco del dispositivo. Ad esempio: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Facoltativo | Stringa | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. Mapping dell'ambito a un ID sottoscrizione in Azure e a un ID account in AWS. |
| Ambito | Facoltativo | Stringa | Ambito della piattaforma cloud a cui appartiene il dispositivo. Mapping dell'ambito a una sottoscrizione in Azure e a un account in AWS. |
| DvcIdType | Facoltativo | Enumerato | Tipo di DvcId. In genere questo campo identifica anche il tipo di Scope e ScopeId. Questo campo è obbligatorio se viene utilizzato il campo DvcId . |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Facoltativo | Stringa | Campi usati per archiviare altri ID dispositivo, se l'evento originale include più ID dispositivo. Selezionare l'ID dispositivo più associato all'evento come ID primario archiviato in DvcId. |
I nomi dei campi devono anteporre un prefisso di ruolo, ad Src esempio o Dst, ma non anteporre un secondo Dvc prefisso se usato in tale ruolo.
I valori consentiti per un tipo di ID dispositivo sono:
| Tipo | Descrizione |
|---|---|
| MDEid | ID di sistema assegnato da Microsoft Defender per endpoint. |
| AzureResourceId | ID risorsa Azure. |
| MD4IoTid | Il Microsoft Defender per l'ID risorsa IoT. |
| VMConnectionId | ID risorsa della soluzione di Monitoraggio Azure VM Insights. |
| AwsVpcId | ID VPC AWS. |
| VectraId | ID risorsa assegnato da Vectra AI. |
| Altro | Tipo di ID non elencato. |
Ad esempio, la soluzione Azure Monitor VM Insights fornisce informazioni sulle sessioni di rete in VMConnection. La tabella fornisce un AZURE ID risorsa nel _ResourceId campo e un ID dispositivo specifico di VM Insights nel Machine campo. Usare il mapping seguente per rappresentare tali ID:
| Campo | Eseguire il mapping a |
|---|---|
| DvcId | Campo Machine della VMConnection tabella. |
| DvcIdType | Valore VMConnectionId |
| DvcAzureResourceId | Campo _ResourceId della VMConnection tabella. |
Altri campi del dispositivo
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| IpAddr | Consigliata | Indirizzo IP | Indirizzo IP del dispositivo. Esempio: 45.21.42.12 |
| DvcDescription | Facoltativo | Stringa | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| MacAddr | Facoltativo | MAC | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. Esempio: 00:1B:44:11:3A:B7 |
| Zona | Facoltativo | Stringa | Rete in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. Il dispositivo di report definisce la zona. Esempio: Dmz |
| DvcO | Facoltativo | Stringa | Sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. Esempio: Windows |
| DvcOsVersion | Facoltativo | Stringa | Versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. Esempio: 10 |
| DvcAction | Facoltativo | Stringa | Per i sistemi di sicurezza di segnalazione, l'azione eseguita dal sistema, se applicabile. Esempio: Blocked |
| DvcOriginalAction | Facoltativo | Stringa | DvcAction originale fornito dal dispositivo di report. |
| Interfaccia | Facoltativo | Stringa | Interfaccia di rete in cui sono stati acquisiti i dati. Questo campo è in genere rilevante per l'attività correlata alla rete acquisita da un dispositivo intermedio o tocco. |
I campi denominati nell'elenco con il prefisso Dvc devono anteporre un prefisso di ruolo, ad Src esempio o Dst, ma non anteporre un secondo Dvc prefisso se usato in tale ruolo.