Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os dispositivos ou anfitriões são os termos comuns utilizados para os sistemas que participam no evento. O Dvc prefixo é utilizado para designar o dispositivo primário no qual o evento ocorre. Alguns eventos, como sessões de rede, têm dispositivos de origem e destino, designados pelo prefixo Src e Dst. Nesse caso, o Dvc prefixo é utilizado para o dispositivo que reporta o evento, que pode ser a origem, o destino ou um dispositivo de monitorização.
Os aliases do dispositivo
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Dvc, Src, Dst | Obrigatório | Cadeia | Os Dvccampos , "Src" ou "Dst" são utilizados como um identificador exclusivo do dispositivo. Está definido como o melhor identificado disponível para o dispositivo. Estes campos podem alias os campos FQDN, DvcId, Hostname ou IpAddr . Para origens da cloud, para as quais não existe nenhum dispositivo aparente, utilize o mesmo valor que o campo Produto de Eventos . |
O nome do dispositivo
Os nomes de dispositivos comunicados podem incluir apenas um nome de anfitrião ou um nome de domínio completamente qualificado (FQDN), que inclui um nome de anfitrião e um nome de domínio. O FQDN pode ser expresso com vários formatos. Os campos seguintes permitem suportar as diferentes variantes nas quais o nome do dispositivo pode ser fornecido.
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Nome do anfitrião | Recomendado | Hostname | O nome de anfitrião curto do dispositivo. |
| Domínio | Recomendado | Cadeia | O domínio do dispositivo no qual ocorreu o evento, sem o nome do anfitrião. |
| DomainType | Recomendado | Enumerado | O tipo de Domínio. Os valores suportados incluem FQDN e Windows. Este campo é necessário se o campo Domínio for utilizado. |
| FQDN | Opcional | Cadeia | O FQDN do dispositivo, incluindo o Nome do Anfitrião e o Domínio . Este campo suporta o formato FQDN tradicional e o formato de domínio/nome do anfitrião do Windows. O campo DomainType reflete o formato utilizado. |
Por exemplo:
| Campo | Valor da entrada appserver.contoso.com |
valor para entrada appserver |
|---|---|---|
| Hostname | appserver |
appserver |
| Domínio | contoso.con |
<vazio> |
| DomainType | FQDN |
<vazio> |
| FQDN | appserver.contoso.com |
<vazio> |
Quando o valor fornecido pela origem for um FQDN, o analisador deve calcular os quatro valores. Isto também acontece quando o valor pode ser e FQDN ou um nome de anfitrião curto. Utilize as funções auxiliares _ASIM_ResolveFQDNdo ASIM , _ASIM_ResolveSrcFQDN, _ASIM_ResolveDstFQDNe _ASIM_ResolveDvcFQDN para definir facilmente os quatro campos com base num único valor de entrada. Para obter mais informações, veja Funções auxiliares do ASIM.
O ID do dispositivo e o Âmbito
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| DvcId | Opcional | Cadeia | O ID exclusivo do dispositivo. Por exemplo: 41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | Opcional | Cadeia | O ID de âmbito da plataforma na cloud ao qual o dispositivo pertence. Mapa de âmbito para um ID de subscrição no Azure e para um ID de conta no AWS. |
| Âmbito | Opcional | Cadeia | O âmbito da plataforma na cloud ao qual o dispositivo pertence. Mapa de âmbito para uma subscrição no Azure e para uma conta no AWS. |
| DvcIdType | Opcional | Enumerado | O tipo de DvcId. Normalmente, este campo também identifica o tipo de Âmbito e ScopeId. Este campo é necessário se o campo DvcId for utilizado. |
| DvcAzureResourceId, DvcMDEid, DvcMD4IoTid, DvcVMConnectionId, DvcVectraId, DvcAwsVpcId | Opcional | Cadeia | Campos utilizados para armazenar outros IDs de dispositivo, se o evento original incluir vários IDs de dispositivo. Selecione o ID do dispositivo mais associado ao evento como o ID principal armazenado no DvcId. |
Os nomes dos campos devem anexar um prefixo de função, como Src ou Dst, mas não devem anexar um segundo Dvc prefixo, se utilizado nessa função.
Os valores permitidos para um tipo de ID de dispositivo são:
| Tipo | Descrição |
|---|---|
| MDEid | O ID de sistema atribuído por Microsoft Defender para Endpoint. |
| AzureResourceId | O ID do recurso Azure. |
| MD4IoTid | O Microsoft Defender do ID do recurso IoT. |
| VMConnectionId | O ID de recurso da solução do Azure Monitor VM Insights. |
| AwsVpcId | Um ID de VPC do AWS. |
| VectraId | Um ID de recurso atribuído ao Vectra AI. |
| Outro | Um tipo de ID não listado. |
Por exemplo, a solução Azure Monitor VM Insights fornece informações sobre sessões de rede no VMConnection. A tabela fornece um Azure ID de Recurso no _ResourceId campo e um ID de dispositivo específico das informações da VM no Machine campo. Utilize o seguinte mapeamento para representar esses IDs:
| Campo | Mapear para |
|---|---|
| DvcId | O Machine campo na VMConnection tabela. |
| DvcIdType | O valor VMConnectionId |
| DvcAzureResourceId | O _ResourceId campo na VMConnection tabela. |
Outros campos do dispositivo
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| IpAddr | Recomendado | Endereço IP | O endereço IP do dispositivo. Exemplo: 45.21.42.12 |
| DvcDescription | Opcional | Cadeia | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| MacAddr | Opcional | MAC | O endereço MAC do dispositivo no qual ocorreu o evento ou que comunicou o evento. Exemplo: 00:1B:44:11:3A:B7 |
| Zona | Opcional | Cadeia | A rede na qual o evento ocorreu ou que reportou o evento, dependendo do esquema. O dispositivo de relatório define a zona. Exemplo: Dmz |
| DvcOs | Opcional | Cadeia | O sistema operativo em execução no dispositivo no qual ocorreu o evento ou que reportou o evento. Exemplo: Windows |
| DvcOsVersion | Opcional | Cadeia | A versão do sistema operativo no dispositivo em que ocorreu o evento ou que reportou o evento. Exemplo: 10 |
| DvcAction | Opcional | Cadeia | Para os sistemas de segurança de relatórios, a ação tomada pelo sistema, se aplicável. Exemplo: Blocked |
| DvcOriginalAction | Opcional | Cadeia | O DvcAction original, conforme fornecido pelo dispositivo de relatório. |
| Interface | Opcional | Cadeia | A interface de rede na qual os dados foram capturados. Normalmente, este campo é relevante para a atividade relacionada com a rede capturada por um dispositivo intermédio ou toque. |
Os campos com o nome na lista com o prefixo Dvc devem anexar um prefixo de função, como Src ou Dst, mas não devem anexar um segundo Dvc prefixo, se utilizado nessa função.