Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les appareils, ou hôtes, sont les termes courants utilisés pour les systèmes qui participent à l’événement. Le Dvc préfixe est utilisé pour désigner l’appareil principal sur lequel l’événement se produit. Certains événements, tels que les sessions réseau, ont des appareils source et de destination, désignés par le préfixe Src et Dst. Dans ce cas, le Dvc préfixe est utilisé pour l’appareil signalant l’événement, qui peut être la source, la destination ou un appareil de surveillance.
Alias d’appareil
| Field | Classe | Type | Description |
|---|---|---|---|
| Dvc, Src, Dst | Obligatoire | String | Les Dvcchamps , « Src » ou « Dst » sont utilisés comme identificateur unique de l’appareil. Il est défini sur le meilleur disponible identifié pour l’appareil. Ces champs peuvent alias les champs FQDN, DvcId, Hostname ou IpAddr . Pour les sources cloud, pour lesquelles il n’existe aucun appareil apparent, utilisez la même valeur que le champ Produit d’événement . |
Nom de l’appareil
Les noms d’appareils signalés peuvent inclure un nom d’hôte uniquement ou un nom de domaine complet (FQDN), qui inclut un nom d’hôte et un nom de domaine. Le nom de domaine complet peut être exprimé à l’aide de plusieurs formats. Les champs suivants permettent de prendre en charge les différentes variantes dans lesquelles le nom de l’appareil peut être fourni.
| Field | Classe | Type | Description |
|---|---|---|---|
| Hostname | Recommandé | Nom d'hôte | Nom d’hôte court de l’appareil. |
| Domaine | Recommandé | String | Domaine de l’appareil sur lequel l’événement s’est produit, sans le nom d’hôte. |
| DomainType | Recommandé | Énumérés | Type de domaine. Les valeurs prises en charge sont et FQDNWindows. Ce champ est obligatoire si le champ Domaine est utilisé. |
| FQDN | Facultatif | String | Nom de domaine complet de l’appareil, y compris le nom d’hôte et le domaine . Ce champ prend en charge à la fois le format FQDN traditionnel et le format domaine\nom d’hôte Windows. Le champ DomainType reflète le format utilisé. |
Par exemple :
| Field | Valeur de l’entrée appserver.contoso.com |
valeur pour l’entrée appserver |
|---|---|---|
| Hostname (Nom d'hôte) | appserver |
appserver |
| Domaine | contoso.con |
<vide> |
| DomainType | FQDN |
<vide> |
| FQDN | appserver.contoso.com |
<vide> |
Lorsque la valeur fournie par la source est un nom de domaine complet, l’analyseur doit calculer les quatre valeurs. Cela est également vrai lorsque la valeur peut être un nom de domaine complet et ou un nom d’hôte court. Utilisez les fonctions _ASIM_ResolveFQDNd’assistance ASIM , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNet _ASIM_ResolveDvcFQDN pour définir facilement les quatre champs en fonction d’une seule valeur d’entrée. Pour plus d’informations, consultez Fonctions d’assistance ASIM.
L’ID et l’étendue de l’appareil
| Field | Classe | Type | Description |
|---|---|---|---|
| DvcId | Facultatif | String | ID unique de l’appareil. Par exemple : 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil. Mapper l’étendue à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| Portée | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil. Mappage de l’étendue à un abonnement sur Azure et à un compte sur AWS. |
| DvcIdType | Facultatif | Énumérés | Type de DvcId. En règle générale, ce champ identifie également le type de Scope et ScopeId. Ce champ est obligatoire si le champ DvcId est utilisé. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Facultatif | String | Champs utilisés pour stocker d’autres ID d’appareil, si l’événement d’origine inclut plusieurs ID d’appareil. Sélectionnez l’ID d’appareil le plus associé à l’événement comme ID principal stocké dans DvcId. |
Les noms de champs doivent ajouter un préfixe de rôle tel que Src ou Dst, mais ne doivent pas ajouter un deuxième Dvc préfixe s’ils sont utilisés dans ce rôle.
Les valeurs autorisées pour un type d’ID d’appareil sont les suivantes :
| Type | Description |
|---|---|
| MDEid | ID système attribué par Microsoft Defender pour point de terminaison. |
| AzureResourceId | ID de ressource Azure. |
| MD4IoTid | Microsoft Defender pour l’ID de ressource IoT. |
| VMConnectionId | ID de ressource de la solution VM Insights Azure Monitor. |
| AwsVpcId | UN ID AWS VPC. |
| VectraId | ID de ressource affecté par Vectra AI. |
| Other | Type d’ID non répertorié. |
Par exemple, la solution Azure Monitor VM Insights fournit des informations sur les sessions réseau dans .VMConnection Le tableau fournit un ID de ressource Azure dans le _ResourceId champ et un ID d’appareil spécifique à VM Insights dans le Machine champ. Utilisez le mappage suivant pour représenter ces ID :
| Field | Mapper à |
|---|---|
| DvcId | Champ Machine de la VMConnection table. |
| DvcIdType | Valeur VMConnectionId |
| DvcAzureResourceId | Champ _ResourceId de la VMConnection table. |
Autres champs d’appareil
| Field | Classe | Type | Description |
|---|---|---|---|
| IpAddr | Recommandé | Adresse IP | Adresse IP de l’appareil. Exemple : 45.21.42.12 |
| DvcDescription | Facultatif | String | Texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| MacAddr | Facultatif | MAC | Adresse MAC de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. Exemple : 00:1B:44:11:3A:B7 |
| Zone | Facultatif | String | Réseau sur lequel l’événement s’est produit ou qui a signalé l’événement, selon le schéma. L’appareil de création de rapports définit la zone. Exemple : Dmz |
| DvcOs | Facultatif | String | Système d’exploitation en cours d’exécution sur l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. Exemple : Windows |
| DvcOsVersion | Facultatif | String | Version du système d’exploitation sur l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. Exemple : 10 |
| DvcAction | Facultatif | String | Pour les systèmes de sécurité de création de rapports, l’action entreprise par le système, le cas échéant. Exemple : Blocked |
| DvcOriginalAction | Facultatif | String | DvcAction d’origine fournie par l’appareil de création de rapports. |
| Interface | Facultatif | String | Interface réseau sur laquelle les données ont été capturées. Ce champ est généralement pertinent pour l’activité liée au réseau capturée par un appareil intermédiaire ou appuyez. |
Les champs nommés dans la liste avec le préfixe Dvc doivent ajouter un préfixe de rôle tel que Src ou Dst, mais ne doivent pas ajouter un deuxième Dvc préfixe s’ils sont utilisés dans ce rôle.