Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os dispositivos ou anfitriões são os termos comuns utilizados para os sistemas que participam no evento. O Dvc prefixo é utilizado para designar o dispositivo primário no qual o evento ocorre. Alguns eventos, como sessões de rede, têm dispositivos de origem e destino, designados pelo prefixo Src e Dst. Nesse caso, o Dvc prefixo é utilizado para o dispositivo que reporta o evento, que pode ser a origem, o destino ou um dispositivo de monitorização.
Os aliases do dispositivo
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Dvc, Src, Dst | Obrigatório | Cadeia de caracteres | Os Dvccampos , "Src" ou "Dst" são utilizados como um identificador exclusivo do dispositivo. Está definido como o melhor identificado disponível para o dispositivo. Estes campos podem alias os campos FQDN, DvcId, Hostname ou IpAddr . Para origens da cloud, para as quais não existe nenhum dispositivo aparente, utilize o mesmo valor que o campo Produto de Eventos . |
O nome do dispositivo
Os nomes de dispositivos comunicados podem incluir apenas um nome de anfitrião ou um nome de domínio completamente qualificado (FQDN), que inclui um nome de anfitrião e um nome de domínio. O FQDN pode ser expresso com vários formatos. Os campos seguintes permitem suportar as diferentes variantes nas quais o nome do dispositivo pode ser fornecido.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Nome do anfitrião | Recomendado | Nome do host | O nome de anfitrião curto do dispositivo. |
| Domínio | Recomendado | Cadeia de caracteres | O domínio do dispositivo no qual ocorreu o evento, sem o nome do anfitrião. |
| DomainType | Recomendado | Enumerado | O tipo de Domínio. Os valores suportados incluem FQDN e Windows. Este campo é necessário se o campo Domínio for utilizado. |
| FQDN | Opcional | Cadeia de caracteres | O FQDN do dispositivo, incluindo o Nome do Anfitrião e o Domínio . Este campo suporta o formato FQDN tradicional e o formato de domínio/nome do anfitrião do Windows. O campo DomainType reflete o formato utilizado. |
Por exemplo:
| Campo | Valor da entrada appserver.contoso.com |
valor para entrada appserver |
|---|---|---|
| Nome do host | appserver |
appserver |
| Domínio | contoso.con |
<vazio> |
| DomainType | FQDN |
<vazio> |
| FQDN | appserver.contoso.com |
<vazio> |
Quando o valor fornecido pela origem for um FQDN, o analisador deve calcular os quatro valores. Isto também acontece quando o valor pode ser e FQDN ou um nome de anfitrião curto. Utilize as funções auxiliares _ASIM_ResolveFQDNdo ASIM , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNe _ASIM_ResolveDvcFQDN para definir facilmente os quatro campos com base num único valor de entrada. Para obter mais informações, veja Funções auxiliares do ASIM.
O ID do dispositivo e o Âmbito
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| DvcId | Opcional | Cadeia de caracteres | O ID exclusivo do dispositivo. Por exemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Opcional | Cadeia de caracteres | O ID de âmbito da plataforma na cloud ao qual o dispositivo pertence. Mapa de âmbito para um ID de subscrição no Azure e para um ID de conta no AWS. |
| Âmbito | Opcional | Cadeia de caracteres | O âmbito da plataforma na cloud ao qual o dispositivo pertence. Mapa de âmbito para uma subscrição no Azure e para uma conta no AWS. |
| DvcIdType | Opcional | Enumerado | O tipo de DvcId. Normalmente, este campo também identifica o tipo de Âmbito e ScopeId. Este campo é necessário se o campo DvcId for utilizado. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Opcional | Cadeia de caracteres | Campos utilizados para armazenar outros IDs de dispositivo, se o evento original incluir vários IDs de dispositivo. Selecione o ID do dispositivo mais associado ao evento como o ID principal armazenado no DvcId. |
Os nomes dos campos devem anexar um prefixo de função, como Src ou Dst, mas não devem anexar um segundo Dvc prefixo, se utilizado nessa função.
Os valores permitidos para um tipo de ID de dispositivo são:
| Tipo | Descrição |
|---|---|
| MDEid | O ID de sistema atribuído por Microsoft Defender para Ponto de Extremidade. |
| AzureResourceId | O ID do recurso Azure. |
| MD4IoTid | O Microsoft Defender do ID do recurso IoT. |
| VMConnectionId | O ID de recurso da solução do Azure Monitor VM Insights. |
| AwsVpcId | Um ID de VPC do AWS. |
| VectraId | Um ID de recurso atribuído ao Vectra AI. |
| Outros | Um tipo de ID não listado. |
Por exemplo, a solução Azure Monitor VM Insights fornece informações sobre sessões de rede no VMConnection. A tabela fornece um Azure ID de Recurso no _ResourceId campo e um ID de dispositivo específico das informações da VM no Machine campo. Utilize o seguinte mapeamento para representar esses IDs:
| Campo | Mapear para |
|---|---|
| DvcId | O Machine campo na VMConnection tabela. |
| DvcIdType | O valor VMConnectionId |
| DvcAzureResourceId | O _ResourceId campo na VMConnection tabela. |
Outros campos do dispositivo
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| IpAddr | Recomendado | Endereço IP | O endereço IP do dispositivo. Exemplo: 45.21.42.12 |
| DvcDescription | Opcional | Cadeia de caracteres | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| MacAddr | Opcional | MAC | O endereço MAC do dispositivo no qual ocorreu o evento ou que comunicou o evento. Exemplo: 00:1B:44:11:3A:B7 |
| Zona | Opcional | Cadeia de caracteres | A rede na qual o evento ocorreu ou que reportou o evento, dependendo do esquema. O dispositivo de relatório define a zona. Exemplo: Dmz |
| DvcOs | Opcional | Cadeia de caracteres | O sistema operativo em execução no dispositivo no qual ocorreu o evento ou que reportou o evento. Exemplo: Windows |
| DvcOsVersion | Opcional | Cadeia de caracteres | A versão do sistema operativo no dispositivo em que ocorreu o evento ou que reportou o evento. Exemplo: 10 |
| DvcAction | Opcional | Cadeia de caracteres | Para os sistemas de segurança de relatórios, a ação tomada pelo sistema, se aplicável. Exemplo: Blocked |
| DvcOriginalAction | Opcional | Cadeia de caracteres | O DvcAction original, conforme fornecido pelo dispositivo de relatório. |
| Interface | Opcional | Cadeia de caracteres | A interface de rede na qual os dados foram capturados. Normalmente, este campo é relevante para a atividade relacionada com a rede capturada por um dispositivo intermédio ou toque. |
Os campos com o nome na lista com o prefixo Dvc devem anexar um prefixo de função, como Src ou Dst, mas não devem anexar um segundo Dvc prefixo, se utilizado nessa função.