Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Apparaten, of hosts, zijn de algemene termen die worden gebruikt voor de systemen die aan de gebeurtenis deelnemen. Het Dvc voorvoegsel wordt gebruikt om het primaire apparaat aan te wijzen waarop de gebeurtenis plaatsvindt. Sommige gebeurtenissen, zoals netwerksessies, hebben bron- en doelapparaten, aangeduid met het voorvoegsel Src en Dst. In een dergelijk geval wordt het Dvc voorvoegsel gebruikt voor het apparaat dat de gebeurtenis rapporteert. Dit kan de bron, bestemming of een bewakingsapparaat zijn.
De apparaataliassen
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Dvc, Src, Dst | Verplicht | Tekenreeks | De Dvcvelden , 'Src' of 'Dst' worden gebruikt als een unieke id van het apparaat. Deze is ingesteld op de best beschikbare voor het apparaat. Deze velden kunnen de velden FQDN, DvcId, Hostname of IpAddr als alias gebruiken. Gebruik voor cloudbronnen waarvoor geen zichtbaar apparaat is dezelfde waarde als het veld Gebeurtenisproduct . |
De apparaatnaam
Gerapporteerde apparaatnamen kunnen alleen een hostnaam of een FQDN (Fully Qualified Domain Name) bevatten, waaronder een hostnaam en een domeinnaam. De FQDN kan worden uitgedrukt in verschillende indelingen. Met de volgende velden kunt u de verschillende varianten ondersteunen waarin de apparaatnaam kan worden opgegeven.
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Hostname | Aanbevolen | Hostname | De korte hostnaam van het apparaat. |
| Domein | Aanbevolen | Tekenreeks | Het domein van het apparaat waarop de gebeurtenis heeft plaatsgevonden, zonder de hostnaam. |
| DomainType | Aanbevolen | Opgesomde | Het type domein. Ondersteunde waarden zijn en FQDNWindows. Dit veld is vereist als het veld Domein wordt gebruikt. |
| FQDN | Optioneel | Tekenreeks | De FQDN van het apparaat, inclusief hostnaam en domein . Dit veld ondersteunt zowel de traditionele FQDN-indeling als de indeling Windows-domein\hostnaam. Het veld DomainType geeft de gebruikte indeling aan. |
Bijvoorbeeld:
| Veld | Waarde voor invoer appserver.contoso.com |
waarde voor invoer appserver |
|---|---|---|
| Hostnaam | appserver |
appserver |
| Domein | contoso.con |
<Lege> |
| DomainType | FQDN |
<Lege> |
| FQDN | appserver.contoso.com |
<Lege> |
Wanneer de waarde van de bron een FQDN is, moet de parser de vier waarden berekenen. Dit geldt ook wanneer de waarde FQDN of een korte hostnaam kan zijn. Gebruik de ASIM-helperfuncties _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNen _ASIM_ResolveDvcFQDN om alle vier de velden eenvoudig in te stellen op basis van één invoerwaarde. Zie ASIM-helperfuncties voor meer informatie.
De apparaat-id en het bereik
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| DvcId | Optioneel | Tekenreeks | De unieke id van het apparaat. Bijvoorbeeld:41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Optioneel | Tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. Het bereik wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| Scope | Optioneel | Tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. Het bereik wordt toegewezen aan een abonnement op Azure en aan een account op AWS. |
| DvcIdType | Optioneel | Opgesomde | Het type DvcId. Dit veld identificeert doorgaans ook het type Scope en ScopeId. Dit veld is vereist als het veld DvcId wordt gebruikt. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Optioneel | Tekenreeks | Velden die worden gebruikt voor het opslaan van andere apparaat-id's, als de oorspronkelijke gebeurtenis meerdere apparaat-id's bevat. Selecteer de apparaat-id die het meest is gekoppeld aan de gebeurtenis als de primaire id die is opgeslagen in DvcId. |
Veldnamen moeten een rolvoorvoegsel, zoals Src of Dst, bevatten, maar mogen geen tweede Dvc voorvoegsel bevatten als deze in die rol wordt gebruikt.
De toegestane waarden voor een apparaat-id-type zijn:
| Type | Beschrijving |
|---|---|
| MDEid | De systeem-id die is toegewezen door Microsoft Defender voor Eindpunt. |
| AzureResourceId | De Azure resource-id. |
| MD4IoTid | De Microsoft Defender voor IoT-resource-id. |
| VMConnectionId | De resource-id van de Azure VM Insights-oplossing bewaken. |
| AwsVpcId | Een AWS VPC-id. |
| VectraId | Een door Vectra AI toegewezen resource-id. |
| Overige | Een id-type wordt niet vermeld. |
De oplossing Azure VM Insights controleren biedt bijvoorbeeld informatie over netwerksessies in de VMConnection. De tabel bevat een Azure resource-id in het _ResourceId veld en een specifieke apparaat-id voor VM-inzichten in het Machine veld. Gebruik de volgende toewijzing om deze id's weer te geven:
| Veld | Toewijzen aan |
|---|---|
| DvcId | Het Machine veld in de VMConnection tabel. |
| DvcIdType | De waarde VMConnectionId |
| DvcAzureResourceId | Het _ResourceId veld in de VMConnection tabel. |
Andere apparaatvelden
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| Ipaddr | Aanbevolen | IP-adres | Het IP-adres van het apparaat. Voorbeeld: 45.21.42.12 |
| DvcDescription | Optioneel | Tekenreeks | Een beschrijvende tekst die is gekoppeld aan het apparaat. Bijvoorbeeld: Primary Domain Controller. |
| MacAddr | Optioneel | MAC | Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. Voorbeeld: 00:1B:44:11:3A:B7 |
| Zone | Optioneel | Tekenreeks | Het netwerk waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. Het rapportageapparaat definieert de zone. Voorbeeld: Dmz |
| DvcO's | Optioneel | Tekenreeks | Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. Voorbeeld: Windows |
| DvcOsVersion | Optioneel | Tekenreeks | De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd. Voorbeeld: 10 |
| DvcAction | Optioneel | Tekenreeks | Voor rapportagebeveiligingssystemen, de actie die door het systeem is uitgevoerd, indien van toepassing. Voorbeeld: Blocked |
| DvcOriginalAction | Optioneel | Tekenreeks | De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat. |
| Interface | Optioneel | Tekenreeks | De netwerkinterface waarop gegevens zijn vastgelegd. Dit veld is doorgaans relevant voor netwerkgerelateerde activiteiten die zijn vastgelegd door een tussenliggend of tikapparaat. |
Velden met de naam in de lijst met het Dvc-voorvoegsel moeten een rolvoorvoegsel, zoals Src of Dst, bevatten geen tweede Dvc voorvoegsel als deze in die rol wordt gebruikt.