デバイス (ホスト) は、イベントに参加するシステムに使用される一般的な用語です。
Dvc プレフィックスは、イベントが発生するプライマリ デバイスを指定するために使用されます。 ネットワーク セッションなどの一部のイベントには、プレフィックスの Src と Dstによって指定された送信元と宛先のデバイスがあります。 このような場合、 Dvc プレフィックスは、イベントを報告するデバイスに使用されます。これは、ソース、宛先、または監視デバイスである可能性があります。
デバイスエイリアス
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| Dvc、 Src、 Dst | 必須 | 文字列 |
Dvc、'Src'、または 'Dst' フィールドは、デバイスの一意の識別子として使用されます。 これは、デバイスで識別される最適な使用可能なに設定されます。 これらのフィールドは、 FQDN、 DvcId、 Hostname、または IpAddr フィールドに別名を付 けることができます。 明らかなデバイスがないクラウド ソースの場合は、 Event Product フィールドと同じ値を使用します。 |
デバイス名
報告されるデバイス名には、ホスト名のみ、またはホスト名とドメイン名を含む完全修飾ドメイン名 (FQDN) を含めることができます。 FQDN は、いくつかの形式を使用して表現される場合があります。 次のフィールドを使用すると、デバイス名が指定される可能性があるさまざまなバリアントをサポートできます。
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| ホスト | 推奨 | ホスト名 | デバイスの短いホスト名。 |
| ドメイン | 推奨 | 文字列 | ホスト名を指定せずに、イベントが発生したデバイスのドメイン。 |
| DomainType | 推奨 | 列挙 |
ドメインの種類。 サポートされる値には、 FQDN と Windowsが含まれます。 [ ドメイン ] フィールドを使用する場合は、このフィールドが必要です。 |
| Fqdn | 省略可能 | 文字列 | ホスト名とドメインの両方を含むデバイスの FQDN。 このフィールドは、従来の FQDN 形式と Windows ドメイン\ホスト名形式の両方をサポートします。 DomainType フィールドには、使用される形式が反映されます。 |
例:
| フィールド | 入力の値 appserver.contoso.com |
入力の値 appserver |
|---|---|---|
| Hostname | appserver |
appserver |
| ドメイン | contoso.con |
<空> |
| DomainType | FQDN |
<空> |
| FQDN | appserver.contoso.com |
<空> |
ソースによって提供される値が FQDN の場合、パーサーは 4 つの値を計算する必要があります。 これは、値が FQDN または短いホスト名のいずれかである場合にも当てはまります。 ASIM ヘルパー関数 _ASIM_ResolveFQDN、 _ASIM_ResolveSrcFQDN、 _ASIM_ResolveDstFQDN、 _ASIM_ResolveDvcFQDN を使用して、1 つの入力値に基づいて 4 つのフィールドすべてを簡単に設定できます。 詳細については、「 ASIM ヘルパー関数」を参照してください。
デバイス ID とスコープ
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| DvcId | 省略可能 | 文字列 | デバイスの一意の ID。 例: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ ID。 スコープは、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| スコープ | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ。 スコープは、Azureのサブスクリプションと AWS のアカウントにマップされます。 |
| DvcIdType | 省略可能 | 列挙 | DvcId の型。 通常、このフィールドは Scope と ScopeId の種類も識別 します。 DvcId フィールドを使用する場合は、このフィールドが必要です。 |
| DvcAzureResourceId、 DvcMDEid、 DvcMD4IoTid、 DvcVMConnectionId、 DvcVectraId、 DvcAwsVpcId | 省略可能 | 文字列 | 元のイベントに複数のデバイス ID が含まれている場合、他のデバイス ID を格納するために使用されるフィールド。 DvcId に格納されているプライマリ ID として、イベントに最も関連付けられているデバイス ID を選択します。 |
フィールド名は、 Src や Dstなどのロール プレフィックスの前に付加する必要がありますが、そのロールで使用する場合は、2 つ目の Dvc プレフィックスの前に付加しないでください。
デバイス ID の種類に使用できる値は次のとおりです。
| 型 | 説明 |
|---|---|
| MDEid | Microsoft Defender for Endpointによって割り当てられたシステム ID。 |
| AzureResourceId | Azure リソース ID。 |
| MD4IoTid | IoT リソース ID のMicrosoft Defender。 |
| VMConnectionId | AZURE Monitor VM Insights ソリューション リソース ID。 |
| AwsVpcId | AWS VPC ID。 |
| VectraId | Vectra AI によって割り当てられたリソース ID。 |
| その他 | 一覧にない ID 型。 |
たとえば、Azure Monitor VM Insights ソリューションは、VMConnectionのネットワーク セッション情報を提供します。 テーブルには、_ResourceId フィールドにAzureリソース ID と、Machine フィールドの VM 分析情報固有のデバイス ID が示されています。 これらの ID を表すには、次のマッピングを使用します。
| フィールド | にマップする |
|---|---|
| DvcId |
VMConnection テーブルのMachine フィールド。 |
| DvcIdType | 値 VMConnectionId |
| DvcAzureResourceId |
VMConnection テーブルの_ResourceId フィールド。 |
その他のデバイス フィールド
| フィールド | クラス | 型 | 説明 |
|---|---|---|---|
| IpAddr | 推奨 | IP アドレス | デバイスの IP アドレス。 例: 45.21.42.12 |
| DvcDescription | 省略可能 | 文字列 | デバイスに関連付けられている説明テキスト。 例: Primary Domain Controller。 |
| MacAddr | 省略可能 | MAC | イベントが発生したデバイス、またはイベントを報告したデバイスの MAC アドレス。 例: 00:1B:44:11:3A:B7 |
| ゾーン | 省略可能 | 文字列 | スキーマに応じて、イベントが発生したネットワーク、またはイベントを報告したネットワーク。 レポート デバイスはゾーンを定義します。 例: Dmz |
| DvcOs | 省略可能 | 文字列 | イベントが発生したデバイスまたはイベントを報告したデバイスで実行されているオペレーティング システム。 例: Windows |
| DvcOsVersion | 省略可能 | 文字列 | イベントが発生した、またはイベントを報告したデバイス上のオペレーティング システムのバージョン。 例: 10 |
| DvcAction | 省略可能 | 文字列 | セキュリティ システムを報告する場合は、該当する場合にシステムによって実行されるアクション。 例: Blocked |
| DvcOriginalAction | 省略可能 | 文字列 | レポート デバイスによって提供される元の DvcAction 。 |
| インターフェイス | 省略可能 | 文字列 | データがキャプチャされたネットワーク インターフェイス。 このフィールドは通常、中間デバイスまたはタップ デバイスによってキャプチャされたネットワーク関連のアクティビティに関連します。 |
Dvc プレフィックスが付いたリスト内のフィールドは、 Src や Dstなどのロール プレフィックスの先頭に付ける必要がありますが、そのロールで使用する場合は、2 番目の Dvc プレフィックスの先頭に付加しないでください。