Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
设备或主机是用于那些参与事件的系统的常用术语。
Dvc 前缀用于指定发生事件的主设备。 某些事件(如网络会话)具有由前缀 Src和 Dst 指定的源设备和目标设备。 在这种情况下,前缀 Dvc 用于那个报告事件的设备,该设备可能是源设备、目标设备或监视设备。
设备别名
| 领域 | Class | 类型 | Description |
|---|---|---|---|
| Dvc、Src、Dst | 强制的 | String | “Dvc”、“Src”或“Dst”字段用作设备的唯一标识符。 它设置为设备的最佳可用标识符。 这些字段可以是 FQDN、DvcId、Hostname 或 IpAddr 字段的别名。 对于没有明确的设备的云源,请使用与 EventProduct 字段相同的值。 |
设备名
报告的设备名可能只包括主机名,或包括完全限定的域名 (FQDN),后者包括主机名和域名。 可以使用多种格式来表示 FQDN。 以下字段支持使用可以在其中提供设备名的不同变体。
| 领域 | Class | 类型 | Description |
|---|---|---|---|
| Hostname | Recommended | Hostname | 设备的短主机名。 |
| Domain | Recommended | String | 发生事件的设备的域,没有主机名。 |
| DomainType | Recommended | 枚举 |
Domain 的类型。 支持的值包括:FQDN 和 Windows。 如果使用了 Domain 字段,则此字段是必填的。 |
| FQDN | 可选 | String | 设备的 FQDN,包括 Hostname 和 Domain。 此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 DomainType 字段反映使用的格式。 |
例如:
| 领域 | 输入 appserver.contoso.com 的值 |
输入 appserver 的值 |
|---|---|---|
| 主机名 | appserver |
appserver |
| Domain | contoso.con |
<空> |
| DomainType | FQDN |
<空> |
| FQDN | appserver.contoso.com |
<空> |
当源给的值是FQDN时,解析器应计算出这四个值。 当值可能是 FQDN 或短主机名时,这同样适用。 使用 ASIM 帮助程序函数 _ASIM_ResolveFQDN、_ASIM_ResolveSrcFQDN、_ASIM_ResolveDstFQDN 和 _ASIM_ResolveDvcFQDN 轻松设置基于单个输入值的所有四个字段。 有关详细信息,请参阅 ASIM 帮助程序函数。
设备 ID 和范围
| 领域 | Class | 类型 | Description |
|---|---|---|---|
| DvcId | 可选 | String | 设备的唯一ID。 例如:41502da5-21b7-48ec-81c9-baeea8d7d669 |
| ScopeId | 可选 | String | 设备所属的云平台范围 ID。 将映射范围限定为 Azure 上的订阅 ID。 |
| 范围 | 可选 | String | 设备所属的云平台范围。 将映射范围限定到 Azure 上的订阅。 |
| DvcIdType | 可选 | 枚举 | DvcId 的类型。 通常该字段还标识 范围 和 范围ID的类型。 如果使用了 DvcId 字段,则此字段是必填的。 |
| DvcAzureResourceId、DvcMDEid、DvcMD4IoTid、DvcVMConnectionId、DvcVectraId、DvcVectraId | 可选 | String | 如果原始事件包含多个设备ID,则用于存储其他设备ID。 选择与事件最关联的设备 ID 作为存储在 DvcId 中的主 ID。 |
字段名称应置于角色前缀(如 Src 或 Dst),但如果在该角色中使用,则不应加第二个 Dvc 前缀。
设备 ID 类型的允许值为:
| 类型 | Description |
|---|---|
| MDEid | 由 Microsoft Defender for Endpoint 分配的系统 ID。 |
| AzureResourceId | Azure 资源 ID。 |
| MD4IoTid | Microsoft Defender for IoT 资源 ID。 |
| VMConnectionId | Azure Monitor VM 见解解决方案资源 ID。 |
| VectraId | Vectra AI 分配的资源 ID。 |
| 其他 | 未列出身份识别类型。 |
其他设备领域
| 领域 | Class | 类型 | Description |
|---|---|---|---|
| IpAddr | Recommended | IP 地址 | 设备的 IP 地址。 示例: 45.21.42.12 |
| DvcDescription | 可选 | String | 与设备关联的描述性文本。 例如: Primary Domain Controller。 |
| MacAddr | 可选 | 苹果电脑 | 发生了事件或报告了事件的设备的 MAC 地址。 示例: 00:1B:44:11:3A:B7 |
| Zone | 可选 | String | 发生事件或报告事件的网络,具体取决于架构。 报告设备定义了区域。 示例: Dmz |
| DvcOs | 可选 | String | 发生了事件或报告了事件的设备上运行的操作系统。 示例: Windows |
| DvcOsVersion | 可选 | String | 发生了事件或报告了事件的设备上的操作系统版本。 示例: 10 |
| DvcAction | 可选 | String | 对于报告安全系统,此属性为系统执行的操作(如适用)。 示例: Blocked |
| DvcOriginalAction | 可选 | String | 报告设备提供的原始 DvcAction。 |
| Interface | 可选 | String | 捕获数据的网络接口。 该字段通常与中介设备或分流设备捕获的网络相关活动相关。 |
列表中带有 DVC 前缀的字段应在角色前缀(如 Src 或 Dst)前加,但如果在该角色中使用,则不应在第二个 Dvc 前缀前加。