Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los dispositivos o hosts son los términos comunes que se usan para los sistemas que participan en el evento. El Dvc prefijo se usa para designar el dispositivo principal en el que se produce el evento. Algunos eventos, como las sesiones de red, tienen dispositivos de origen y destino, designados por el prefijo Src y Dst. En tal caso, el Dvc prefijo se usa para el dispositivo que notifica el evento, que podría ser el origen, el destino o un dispositivo de supervisión.
Los alias de dispositivo
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| Dvc, Src, Dst | Obligatorio | Cadena | Los Dvccampos , "Src" o "Dst" se usan como identificador único del dispositivo. Se establece en el mejor disponible identificado para el dispositivo. Estos campos pueden alias de los campos FQDN, DvcId, Hostname o IpAddr . En el caso de los orígenes en la nube, para los que no hay ningún dispositivo aparente, use el mismo valor que el campo Producto de eventos . |
Nombre del dispositivo
Los nombres de dispositivo notificados pueden incluir solo un nombre de host o un nombre de dominio completo (FQDN), que incluye un nombre de host y un nombre de dominio. Es posible que el FQDN se exprese con varios formatos. Los campos siguientes permiten admitir las distintas variantes en las que se puede proporcionar el nombre del dispositivo.
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| Nombre de host | Recomendado | Nombre de host | Nombre de host corto del dispositivo. |
| Dominio | Recomendado | Cadena | Dominio del dispositivo en el que se produjo el evento, sin el nombre de host. |
| DomainType | Recomendado | Enumerado | Tipo de dominio. Entre los valores admitidos se incluyen FQDN y Windows. Este campo es necesario si se usa el campo Dominio . |
| FQDN | Opcional | Cadena | FQDN del dispositivo, incluidos el nombre de host y el dominio . Este campo admite el formato FQDN tradicional y el formato dominio\nombre de host de Windows. El campo DomainType refleja el formato usado. |
Por ejemplo:
| Campo | Valor de entrada appserver.contoso.com |
valor de entrada appserver |
|---|---|---|
| Nombre de host | appserver |
appserver |
| Dominio | contoso.con |
<vacío> |
| DomainType | FQDN |
<vacío> |
| FQDN | appserver.contoso.com |
<vacío> |
Cuando el valor proporcionado por el origen es un FQDN, el analizador debe calcular los cuatro valores. Esto es así también cuando el valor puede ser fqdn o un nombre de host corto. Use las funciones auxiliares _ASIM_ResolveFQDNde ASIM , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNy _ASIM_ResolveDvcFQDN para establecer fácilmente los cuatro campos en función de un único valor de entrada. Para obtener más información, vea Funciones auxiliares de ASIM.
El identificador y el ámbito del dispositivo
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| DvcId | Opcional | Cadena | Identificador único del dispositivo. Por ejemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Opcional | Cadena | Identificador del ámbito de la plataforma en la nube al que pertenece el dispositivo. El ámbito se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| Ámbito | Opcional | Cadena | Ámbito de la plataforma en la nube al que pertenece el dispositivo. Asignación de ámbito a una suscripción en Azure y a una cuenta en AWS. |
| DvcIdType | Opcional | Enumerado | Tipo de DvcId. Normalmente, este campo también identifica el tipo de Scope y ScopeId. Este campo es necesario si se usa el campo DvcId . |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Opcional | Cadena | Campos usados para almacenar otros identificadores de dispositivo, si el evento original incluye varios identificadores de dispositivo. Seleccione el identificador de dispositivo más asociado al evento como el identificador principal almacenado en DvcId. |
Los nombres de campos deben anteponer un prefijo de rol como Src o Dst, pero no deben anteponer un segundo Dvc prefijo si se usan en ese rol.
Los valores permitidos para un tipo de identificador de dispositivo son:
| Tipo | Description |
|---|---|
| MDEid | Identificador del sistema asignado por Microsoft Defender para punto de conexión. |
| AzureResourceId | Identificador de recurso de Azure. |
| MD4IoTid | El Microsoft Defender para el identificador de recurso de IoT. |
| VMConnectionId | Identificador de recurso de la solución de VM Insights de Azure Monitor. |
| AwsVpcId | Un identificador de AWS VPC. |
| VectraId | Identificador de recurso asignado por Vectra AI. |
| Otros | Un tipo de identificador que no aparece. |
Por ejemplo, la solución Azure Monitor VM Insights proporciona información de sesiones de red en VMConnection. La tabla proporciona un Azure identificador de recurso en el _ResourceId campo y un identificador de dispositivo específico de VM Insights en el Machine campo. Use la siguiente asignación para representar esos identificadores:
| Campo | Asignar a |
|---|---|
| DvcId | Campo Machine de la VMConnection tabla. |
| DvcIdType | Valor VMConnectionId |
| DvcAzureResourceId | Campo _ResourceId de la VMConnection tabla. |
Otros campos de dispositivo
| Campo | Clase | Tipo | Description |
|---|---|---|---|
| IpAddr | Recomendado | Dirección IP | Dirección IP del dispositivo. Ejemplo: 45.21.42.12 |
| DvcDescription | Opcional | Cadena | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| MacAddr | Opcional | MAC | Dirección MAC del dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: 00:1B:44:11:3A:B7 |
| Zona | Opcional | Cadena | La red en la que se produjo el evento o en la que se notificó el evento, en función del esquema. El dispositivo de informes define la zona. Ejemplo: Dmz |
| DvcOs | Opcional | Cadena | Sistema operativo que se ejecuta en el dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: Windows |
| DvcOsVersion | Opcional | Cadena | Versión del sistema operativo en el dispositivo en el que se produjo el evento o que informó del evento. Ejemplo: 10 |
| DvcAction | Opcional | Cadena | En el caso de los sistemas de seguridad de informes, la acción realizada por el sistema, si procede. Ejemplo: Blocked |
| DvcOriginalAction | Opcional | Cadena | DvcAction original según lo proporcionado por el dispositivo de informes. |
| Interfaz | Opcional | Cadena | Interfaz de red en la que se capturaron los datos. Este campo suele ser relevante para la actividad relacionada con la red capturada por un dispositivo intermedio o de pulsación. |
Los campos denominados en la lista con el prefijo Dvc deben anteponer un prefijo de rol como Src o Dst, pero no deben anteponer un segundo Dvc prefijo si se usa en ese rol.