Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Laitteet tai isännät ovat yleisiä termejä, joita käytetään tapahtumaan osallistuville järjestelmille. Etuliitteen Dvc avulla määritetään ensisijainen laite, jossa tapahtuma ilmenee. Joissakin tapahtumissa, kuten verkko-istunnoissa, on lähde- ja kohdelaitteita, jotka on merkitty etuliitteellä Src ja Dst. Tässä tapauksessa Dvc etuliitettä käytetään tapahtumasta raportoitavassa laitteessa, joka voi olla lähde, kohde tai valvontalaite.
Laitteen tunnukset
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Dvc, Src, Dst | Pakollinen | Merkkijono |
DvcKenttiä 'Src' tai 'Dst' käytetään laitteen yksilöivänä tunnisteena. Se on määritetty parhaiten saatavilla olevaksi laitteelle. Nämä kentät voivat olla aliaksia FQDN-, DvcId-, Hostname- tai IpAddr-kentille . Pilvilähteissä, joille ei ole näennäislaitetta, käytetään samaa arvoa kuin Tapahtuman tuote - kentässä. |
Laitteen nimi
Ilmoitetut laitenimet voivat sisältää vain isäntänimen tai täydellisen toimialuenimen (FQDN), joka sisältää isäntänimen ja toimialuenimen. FQDN voidaan ilmaista useissa muodoissa. Seuraavien kenttien avulla voidaan tukea eri variantteja, joissa laitteen nimi mahdollisesti annetaan.
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Hostname | Suositellut | Isäntänimi | Laitteen lyhyt isäntänimi. |
| Toimialueen | Suositellut | Merkkijono | Sen laitteen toimialue, jossa tapahtuma tapahtui, ilman isäntänimeä. |
| Toimialueen tyyppi | Suositellut | Lueteltu |
Toimialueen tyyppi. Tuettuja arvoja ovat ja FQDNWindows. Tämä kenttä on pakollinen, jos Toimialue-kenttää käytetään. |
| FQDN | Valinnainen | Merkkijono | Laitteen FQDN, mukaan lukien sekä Isäntänimi että Toimialue . Tämä kenttä tukee sekä perinteistä FQDN-muotoa että Windows-toimialue\isäntänimi-muotoa. DomainType-kenttä kuvastaa käytettyä muotoa. |
Esimerkki:
| Kenttä | Syötteen arvo appserver.contoso.com |
syötteen arvo appserver |
|---|---|---|
| Isäntänimi | appserver |
appserver |
| Toimialue | contoso.con |
<Tyhjä> |
| Toimialueen tyyppi | FQDN |
<Tyhjä> |
| FQDN | appserver.contoso.com |
<Tyhjä> |
Kun lähteen antama arvo on FQDN, jäsentimen tulee laskea neljä arvoa. Tämä pitää paikkansa myös silloin, kun arvo voi olla joko ja FQDN tai lyhyt isäntänimi. Asim-apufunktioiden _ASIM_ResolveFQDN, _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNja _ASIM_ResolveDvcFQDN avulla voit helposti määrittää kaikki neljä kenttää yksittäisen syötearvon perusteella. Lisätietoja on artikkelissa ASIM-apufunktiot.
Laitetunnus ja käyttöalue
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| DvcId | Valinnainen | Merkkijono | Laitteen yksilöllinen tunnus. Esimerkiksi: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Valinnainen | Merkkijono | Pilviympäristön vaikutusalueen tunnus, jolle laite kuuluu. Laajuuskartta tilaustunnukseen Azure ja tilitunnukseen AWS:ssä. |
| Soveltamisala | Valinnainen | Merkkijono | Pilviympäristön laajuus, jolle laite kuuluu. Laajuuskartta tilaukseen Azure ja tiliin AWS:ssä. |
| DvcIdType | Valinnainen | Lueteltu | DvcId-tyyppi. Yleensä tämä kenttä tunnistaa myös Scope - ja ScopeId-tyypit. Tämä kenttä on pakollinen, jos DvcId-kenttää käytetään. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Valinnainen | Merkkijono | Muiden laitetunnuksia tallentavat kentät, jos alkuperäinen tapahtuma sisältää useita laitetunnuksia. Valitse tapahtumaan eniten liittyvä laitetunnus DvcId:hen tallennetuksi ensisijaiseksi tunnukseksi. |
Kenttien nimien tulee käyttää roolin etuliitettä, kuten Src tai Dst, mutta ei saa käyttää toista Dvc etuliitettä, jos sitä käytetään tässä roolissa.
Laitetunnuksen tyypin sallitut arvot ovat seuraavat:
| Kirjoita | Kuvaus |
|---|---|
| MDEid | Microsoft Defender for Endpoint määrittämä järjestelmätunnus. |
| AzureResourceId | Azure resurssitunnus. |
| MD4IoTid | IoT-resurssitunnuksen Microsoft Defender. |
| VMConnectionId | Azure Monitor VM Insights -ratkaisun resurssitunnus. |
| AwsVpcId | AWS VPC -tunnus. |
| VectraId | Vectra AI:lle määritetty resurssitunnus. |
| Muut | Tunnustyyppiä ei ole luettelossa. |
Esimerkiksi Azure Monitor VM Insights -ratkaisu tarjoaa verkkoistuntojen tiedot kohteessa VMConnection. Taulukko sisältää Azure resurssitunnuksen _ResourceId kentässä ja näennäiskoneen merkitykselliset tiedot tietystä laitetunnuksesta Machine kentässä. Käytä seuraavaa yhdistämismääritystä edustamaan näitä tunnuksia:
| Kenttä | Yhdistä kohteeseen |
|---|---|
| DvcId | Taulukon Machine kenttä VMConnection . |
| DvcIdType | Arvo VMConnectionId |
| DvcAzureResourceId | Taulukon _ResourceId kenttä VMConnection . |
Muut laitekentät
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| IpAddr | Suositellut | IP-osoite | Laitteen IP-osoite. Esimerkki 45.21.42.12 |
| DvcDescription | Valinnainen | Merkkijono | Laitteeseen liittyvä kuvaava teksti. Esimerkki: Primary Domain Controller. |
| MacAddr | Valinnainen | MAC | Sen laitteen MAC-osoite, jossa tapahtuma tapahtui tai joka ilmoitti tapahtumasta. Esimerkki 00:1B:44:11:3A:B7 |
| Alue | Valinnainen | Merkkijono | Verkko, jossa tapahtuma tapahtui tai joka ilmoitti tapahtumasta rakenteen mukaan. Raportointilaite määrittää alueen. Esimerkki Dmz |
| DvcOs | Valinnainen | Merkkijono | Käyttöjärjestelmä, joka on käynnissä laitteessa, jossa tapahtuma tapahtui tai joka ilmoitti tapahtumasta. Esimerkki Windows |
| DvcOsVersion | Valinnainen | Merkkijono | Sen laitteen käyttöjärjestelmän versio, jossa tapahtuma ilmeni tai jossa tapahtuma raportoitiin. Esimerkki 10 |
| DvcAction | Valinnainen | Merkkijono | Tietoturvajärjestelmien raportoinnissa järjestelmän suorittamat toimet, jos sovellettavissa. Esimerkki Blocked |
| DvcOriginalAction | Valinnainen | Merkkijono | Alkuperäinen DvcAction raportointilaitteen toimittamalla tavalla. |
| Käyttöliittymä | Valinnainen | Merkkijono | Verkkoliittymä, johon tiedot siepattiin. Tämä kenttä liittyy yleensä välitason tai napautuslaitteen sieppaamaan verkkoon liittyvään toimintaan. |
Luettelossa Dvc-etuliiteellä nimettyjen kenttien tulee käyttää etuliitteenä Src esimerkiksi tai Dst, mutta sitä ei saa käyttää toisen Dvc etuliitteen edessä, jos sitä käytetään tässä roolissa.