高度なセキュリティ情報モデル (ASIM) デバイス エンティティ

デバイス (ホスト) は、イベントに参加するシステムに使用される一般的な用語です。 Dvc プレフィックスは、イベントが発生するプライマリ デバイスを指定するために使用されます。 ネットワーク セッションなどの一部のイベントには、プレフィックスの SrcDstによって指定された送信元と宛先のデバイスがあります。 このような場合、 Dvc プレフィックスは、イベントを報告するデバイスに使用されます。これは、ソース、宛先、または監視デバイスである可能性があります。

デバイスエイリアス

フィールド クラス 説明
DvcSrcDst 必須 文字列 Dvc、'Src'、または 'Dst' フィールドは、デバイスの一意の識別子として使用されます。 これは、デバイスで識別される最適な使用可能なに設定されます。 これらのフィールドは、 FQDNDvcIdHostname、または IpAddr フィールドに別名を付 けることができます。 明らかなデバイスがないクラウド ソースの場合は、 Event Product フィールドと同じ値を使用します。

デバイス名

報告されるデバイス名には、ホスト名のみ、またはホスト名とドメイン名を含む完全修飾ドメイン名 (FQDN) を含めることができます。 FQDN は、いくつかの形式を使用して表現される場合があります。 次のフィールドを使用すると、デバイス名が指定される可能性があるさまざまなバリアントをサポートできます。

フィールド クラス 説明
ホスト 推奨 ホスト名 デバイスの短いホスト名。
ドメイン 推奨 文字列 ホスト名を指定せずに、イベントが発生したデバイスのドメイン。
DomainType 推奨 列挙 ドメインの種類。 サポートされる値には、 FQDNWindowsが含まれます。 [ ドメイン ] フィールドを使用する場合は、このフィールドが必要です。
Fqdn 省略可能 文字列 ホスト名ドメインの両方を含むデバイスの FQDN。 このフィールドは、従来の FQDN 形式と Windows ドメイン\ホスト名形式の両方をサポートします。 DomainType フィールドには、使用される形式が反映されます。

例:

フィールド 入力の値 appserver.contoso.com 入力の値 appserver
Hostname appserver appserver
ドメイン contoso.con <空>
DomainType FQDN <空>
FQDN appserver.contoso.com <空>

ソースによって提供される値が FQDN の場合、パーサーは 4 つの値を計算する必要があります。 これは、値が FQDN または短いホスト名のいずれかである場合にも当てはまります。 ASIM ヘルパー関数 _ASIM_ResolveFQDN_ASIM_ResolveSrcFQDN_ASIM_ResolveDstFQDN_ASIM_ResolveDvcFQDN を使用して、1 つの入力値に基づいて 4 つのフィールドすべてを簡単に設定できます。 詳細については、「 ASIM ヘルパー関数」を参照してください。

デバイス ID とスコープ

フィールド クラス 説明
DvcId 省略可能 文字列 デバイスの一意の ID。 例: 41502da5-21b7-48ec-81c9-baeea8d7d669
ScopeId 省略可能 文字列 デバイスが属するクラウド プラットフォーム スコープ ID。 スコープは、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。
スコープ 省略可能 文字列 デバイスが属するクラウド プラットフォーム スコープ。 スコープは、Azureのサブスクリプションと AWS のアカウントにマップされます。
DvcIdType 省略可能 列挙 DvcId の型。 通常、このフィールドは Scope と ScopeId の種類も識別 しますDvcId フィールドを使用する場合は、このフィールドが必要です。
DvcAzureResourceIdDvcMDEidDvcMD4IoTidDvcVMConnectionIdDvcVectraIdDvcAwsVpcId 省略可能 文字列 元のイベントに複数のデバイス ID が含まれている場合、他のデバイス ID を格納するために使用されるフィールド。 DvcId に格納されているプライマリ ID として、イベントに最も関連付けられているデバイス ID を選択します。

フィールド名は、 SrcDstなどのロール プレフィックスの前に付加する必要がありますが、そのロールで使用する場合は、2 つ目の Dvc プレフィックスの前に付加しないでください。

デバイス ID の種類に使用できる値は次のとおりです。

説明
MDEid Microsoft Defender for Endpointによって割り当てられたシステム ID。
AzureResourceId Azure リソース ID。
MD4IoTid IoT リソース ID のMicrosoft Defender。
VMConnectionId AZURE Monitor VM Insights ソリューション リソース ID。
AwsVpcId AWS VPC ID。
VectraId Vectra AI によって割り当てられたリソース ID。
その他 一覧にない ID 型。

たとえば、Azure Monitor VM Insights ソリューションは、VMConnectionのネットワーク セッション情報を提供します。 テーブルには、_ResourceId フィールドにAzureリソース ID と、Machine フィールドの VM 分析情報固有のデバイス ID が示されています。 これらの ID を表すには、次のマッピングを使用します。

フィールド にマップする
DvcId VMConnection テーブルのMachine フィールド。
DvcIdType VMConnectionId
DvcAzureResourceId VMConnection テーブルの_ResourceId フィールド。

その他のデバイス フィールド

フィールド クラス 説明
IpAddr 推奨 IP アドレス デバイスの IP アドレス。

例: 45.21.42.12
DvcDescription 省略可能 文字列 デバイスに関連付けられている説明テキスト。 例: Primary Domain Controller
MacAddr 省略可能 MAC イベントが発生したデバイス、またはイベントを報告したデバイスの MAC アドレス。

例: 00:1B:44:11:3A:B7
ゾーン 省略可能 文字列 スキーマに応じて、イベントが発生したネットワーク、またはイベントを報告したネットワーク。 レポート デバイスはゾーンを定義します。

例: Dmz
DvcOs 省略可能 文字列 イベントが発生したデバイスまたはイベントを報告したデバイスで実行されているオペレーティング システム。

例: Windows
DvcOsVersion 省略可能 文字列 イベントが発生した、またはイベントを報告したデバイス上のオペレーティング システムのバージョン。

例: 10
DvcAction 省略可能 文字列 セキュリティ システムを報告する場合は、該当する場合にシステムによって実行されるアクション。

例: Blocked
DvcOriginalAction 省略可能 文字列 レポート デバイスによって提供される元の DvcAction
インターフェイス 省略可能 文字列 データがキャプチャされたネットワーク インターフェイス。 このフィールドは通常、中間デバイスまたはタップ デバイスによってキャプチャされたネットワーク関連のアクティビティに関連します。

Dvc プレフィックスが付いたリスト内のフィールドは、 SrcDstなどのロール プレフィックスの先頭に付ける必要がありますが、そのロールで使用する場合は、2 番目の Dvc プレフィックスの先頭に付加しないでください。