你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
设备(或主机)是用于参与事件的系统的常用术语。 前缀 Dvc 用于指定发生事件的主设备。 某些事件(如网络会话)具有源和目标设备,由 前缀 Src 和 Dst指定。 在这种情况下,前缀 Dvc 用于报告事件的设备,可能是源、目标或监视设备。
设备别名
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| Dvc、 Src、 Dst | 强制 | String |
Dvc、“Src”或“Dst”字段用作设备的唯一标识符。 它设置为为设备标识的最佳可用值。 这些字段可以为 FQDN、 DvcId、 主机名或 IpAddr 字段添加别名。 对于没有明显设备的云源,请使用与 “事件产品 ”字段相同的值。 |
设备名称
报告的设备名称可能仅包括主机名,或者 FQDN) (完全限定的域名,其中包括主机名和域名。 可以使用多种格式来表示 FQDN。 以下字段支持可能提供设备名称的不同变体。
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| 主机 名 | 建议 | 主机名称 | 设备的短主机名。 |
| 域 | 建议 | String | 发生事件的设备的域,不带主机名。 |
| DomainType | 建议 | 枚举 |
域的类型。 支持的值包括 FQDN 和 Windows。 如果使用 域 字段,则此字段是必需的。 |
| Fqdn | 可选 | String | 设备的 FQDN,包括 主机名 和 域 。 此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 DomainType 字段反映所使用的格式。 |
例如:
| 字段 | 输入值 appserver.contoso.com |
输入值 appserver |
|---|---|---|
| 主机名 | appserver |
appserver |
| 域 | contoso.con |
<空> |
| DomainType | FQDN |
<空> |
| FQDN | appserver.contoso.com |
<空> |
当源提供的值为 FQDN 时,分析程序应计算这四个值。 当值可以是 和 FQDN 或短主机名时,也是如此。 使用 ASIM 帮助程序函数 _ASIM_ResolveFQDN、 _ASIM_ResolveSrcFQDN、 _ASIM_ResolveDstFQDN和 _ASIM_ResolveDvcFQDN 基于单个输入值轻松设置所有四个字段。 有关详细信息,请参阅 ASIM 帮助程序函数。
设备 ID 和范围
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| DvcId | 可选 | String | 设备的唯一 ID。 例如:41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | 可选 | String | 设备所属的云平台范围 ID。 范围映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| 范围 | 可选 | String | 设备所属的云平台范围。 范围映射到 Azure 上的订阅和 AWS 上的帐户。 |
| DvcIdType | 可选 | 枚举 | DvcId 的类型。 通常,此字段还标识 Scope 和 ScopeId 的类型。 如果使用 DvcId 字段,则此字段是必需的。 |
| DvcAzureResourceId、 DvcMDEid、 DvcMD4IoTid、 DvcVMConnectionId、 DvcVectraId、 DvcAwsVpcId | 可选 | String | 如果原始事件包含多个设备 ID,则用于存储其他设备 ID 的字段。 选择与事件最关联的设备 ID 作为 存储在 DvcId 中的主 ID。 |
字段名称应在角色前缀(如 或 Dst)Src前面追加,但如果在该角色中使用,则不应在前面追加第二Dvc个前缀。
设备 ID 类型的允许值为:
| 类型 | 说明 |
|---|---|
| MDEid | Microsoft Defender for Endpoint分配的系统 ID。 |
| AzureResourceId | Azure资源 ID。 |
| MD4IoTid | IoT 资源 ID 的Microsoft Defender。 |
| VMConnectionId | Azure监视 VM Insights 解决方案资源 ID。 |
| AwsVpcId | AWS 专有网络 ID。 |
| VectraId | Vectra AI 分配的资源 ID。 |
| 其他 | 未列出的 ID 类型。 |
例如,Azure Monitor VM Insights 解决方案在 中VMConnection提供网络会话信息。 表在 字段中提供Azure资源 ID,_ResourceId并在 字段中提供特定于 VM 见解的设备 IDMachine。 使用以下映射来表示这些 ID:
| 字段 | 映射到 |
|---|---|
| DvcId | 表中 Machine 的 VMConnection 字段。 |
| DvcIdType | 值 VMConnectionId |
| DvcAzureResourceId | 表中 _ResourceId 的 VMConnection 字段。 |
其他设备字段
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| IpAddr | 建议 | IP 地址 | 设备的 IP 地址。 例如: 45.21.42.12 |
| DvcDescription | 可选 | String | 与设备关联的描述性文本。 例如:Primary Domain Controller。 |
| MacAddr | 可选 | Mac | 发生事件或报告事件的设备的 MAC 地址。 例如: 00:1B:44:11:3A:B7 |
| 区 | 可选 | String | 发生事件或报告事件的网络,具体取决于架构。 报告设备定义区域。 例如: Dmz |
| DvcOs | 可选 | String | 在发生事件或报告事件的设备上运行的操作系统。 例如: Windows |
| DvcOsVersion | 可选 | String | 发生事件或报告事件的设备上的操作系统版本。 例如: 10 |
| DvcAction | 可选 | String | 对于报告安全系统,系统执行的操作(如果适用)。 例如: Blocked |
| DvcOriginalAction | 可选 | String | 报告设备提供的原始 DvcAction 。 |
| 接口 | 可选 | String | 在其中捕获数据的网络接口。 此字段通常与中间设备或点击设备捕获的网络相关活动相关。 |
列表中以 Dvc 前缀命名的字段应在角色前缀(如 Src 或 Dst)前面追加,但如果在该角色中使用,则不应在前面追加第二 Dvc 个前缀。