Udostępnij za pośrednictwem


Dokumentacja schematu normalizacji DHCP (ASIM) advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)

Model informacyjny DHCP służy do opisywania zdarzeń zgłaszanych przez serwer DHCP i jest używany przez usługę Microsoft Sentinel do włączania analizy niezależnej od źródła.

Aby uzyskać więcej informacji, zobacz Normalizacja i Model zaawansowanych informacji o zabezpieczeniach (ASIM) .

Ważne

Schemat normalizacji DHCP jest obecnie w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych.

Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Przegląd schematu

Schemat DHCP karty ASIM reprezentuje aktywność serwera DHCP, w tym obsługę żądań dla adresu IP DHCP dzierżawionego z systemów klienckich i aktualizowanie serwera DNS przy użyciu udzielonych dzierżaw.

Najważniejsze pola w zdarzeniu DHCP to SrcIpAddr i SrcHostname, które serwer DHCP wiąże, udzielając dzierżawy, i są aliasami odpowiednio pól IpAddr i Hostname . Pole SrcMacAddr jest również ważne, ponieważ reprezentuje maszynę klienta używaną, gdy adres IP nie jest dzierżawiony.

Serwer DHCP może odrzucić klienta ze względu na obawy dotyczące zabezpieczeń lub z powodu nasycenia sieci. Może również poddać kwarantannie klienta, dzierżawiąc mu adres IP, który łączy go z ograniczoną siecią. Pola EventResult, EventResultDetails i DvcAction zawierają informacje o odpowiedzi i akcji serwera DHCP.

Czas trwania dzierżawy jest przechowywany w polu DhcpLeaseDuration .

Szczegóły schematu

Usługa ASIM jest zgodna z projektem OSSEM (Open Source Security Events Metadata).

System OSSEM nie ma schematu DHCP porównywalnego ze schematem DHCP karty ASIM.

Typowe pola karty ASIM

Ważne

Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).

Typowe pola z określonymi wytycznymi

Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń DHCP:

Pole Klasa Type Opis
EventType Obowiązkowy Enumerated Wskaż operację zgłoszoną przez rekord.

Możliwe wartości to Assign, RenewRelease i DNS Update.

Przykład: Assign
EventSchemaVersion Obowiązkowy String Wersja schematu udokumentowanego tutaj to 0.1.
EventSchema Obowiązkowy String Nazwa schematu udokumentowanego tutaj to DhcpEvent.
Pola dvc - - W przypadku zdarzeń DHCP pola urządzeń odwołują się do systemu, który zgłasza zdarzenie DHCP.

Wszystkie typowe pola

Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).

Klasa Pola
Obowiązkowy - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Zalecane - EventResultDetails
- EventSeverity
- Identyfikator zdarzenia
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcjonalnie - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- Właściciel zdarzenia
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- Dodatkowe pola
- DvcDescription
- DvcScopeId
- DvcScope

Pola specyficzne dla protokołu DHCP

Poniższe pola są specyficzne dla zdarzeń DHCP, ale wiele z tych pól jest podobnych do pól w innych schematach i postępuje zgodnie z tą samą konwencją nazewnictwa.

Pole Klasa Type Uwagi
SrcIpAddr Obowiązkowy Adres IP Adres IP przypisany do klienta przez serwer DHCP.

Przykład: 192.168.12.1
IpAddr Alias Alias dla elementu SrcIpAddr
RequestedIpAddr Opcjonalnie Adres IP Adres IP żądany przez klienta DHCP, jeśli jest dostępny.

Przykład: 192.168.12.3
SrcHostname Obowiązkowy String Nazwa hosta urządzenia żądającego dzierżawy DHCP. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu.

Przykład: DESKTOP-1282V4D
Nazwa hosta Alias Alias nazwy SrcHostname
SrcDomain Zalecane String Domena urządzenia źródłowego.

Przykład: Contoso
SrcDomainType Warunkowe Enumerated Typ SrcDomain, jeśli jest znany. Możliwe wartości to:
- Windows (na przykład: contoso)
- FQDN (na przykład: microsoft.com)

Wymagane, jeśli jest używany SrcDomain .
SrcFQDN Opcjonalnie String Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne.

Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format.

Przykład: Contoso\DESKTOP-1282V4D
SrcDvcId Opcjonalnie String Identyfikator urządzenia źródłowego zgłoszony w rekordzie.

Na przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3.
SrcDvcScopeId Opcjonalnie String Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcDvcScope Opcjonalnie String Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcDvcIdType Warunkowe Enumerated Typ SrcDvcId, jeśli jest znany. Możliwe wartości to:
- AzureResourceId
- MDEid

Jeśli dostępnych jest wiele identyfikatorów, użyj pierwszej z powyższej listy i zapisz pozostałe w identyfikatorach SrcDvcAzureResourceId i SrcDvcMDEid.

Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId .
SrcDeviceType Opcjonalnie Enumerated Typ urządzenia źródłowego. Możliwe wartości to:
- Computer
- Mobile Device
- IOT Device
- Other
SrcUserId Opcjonalnie String Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. Format i obsługiwane typy obejmują:
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId: 00urjk4znu3BcncfY0h7
- AWSId: 72643944673

Zapisz typ identyfikatora w polu SrcUserIdType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól odpowiednio do SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId i UserAwsId.

Przykład: S-1-12
SrcUserIdType Warunkowe Enumerated Typ identyfikatora przechowywanego w polu SrcUserId . Obsługiwane wartości to: SID, , AADIDUIS, OktaIdi AWSId.
SrcUsername Opcjonalnie String Nazwa użytkownika źródła, w tym informacje o domenie, gdy są dostępne. Użyj jednego z następujących formatów i w następującej kolejności priorytetu:
- Nazwa upn/adres e-mail: johndow@contoso.com
- Windows: Contoso\johndow
- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- Proste: johndow. Użyj formularza prostego tylko wtedy, gdy informacje o domenie nie są dostępne.

Zapisz typ nazwy użytkownika w polu SrcUsernameType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól do nazw SrcUserUpn, SrcUserWindows i SrcUserDn.

Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik.

Przykład: AlbertE
Użytkownik Alias Alias dla nazwy użytkownika SrcUsername
SrcUsernameType Warunkowe Enumerated Określa typ nazwy użytkownika przechowywanej w polu SrcUsername . Obsługiwane wartości to: UPN, , DNWindowsi Simple. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik.

Przykład: Windows
SrcUserType Opcjonalnie Enumerated Typ aktora. Dozwolone wartości to:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu EventOriginalUserType .
SrcOriginalUserType Oryginalny typ użytkownika źródłowego, jeśli jest dostarczany przez źródło.
SrcMacAddr Obowiązkowy Adres Mac Adres MAC klienta żądającego dzierżawy DHCP.

Uwaga: Serwer DHCP systemu Windows rejestruje adres MAC w sposób nietypowy, pomijając dwukropki, które powinny być wstawione przez analizator.

Przykład: 06:10:9f:eb:8f:14
DhcpLeaseDuration Opcjonalnie Integer Długość dzierżawy przyznanej klientowi w sekundach.
DhcpSessionId Opcjonalnie string Identyfikator sesji zgłoszony przez urządzenie raportowania. W przypadku serwera DHCP systemu Windows ustaw wartość w polu TransactionID.

Przykład: 2099570186
Identyfikator sesji Alias String Alias na DhcpSessionId
DhcpSessionDuration Opcjonalnie Integer Czas( w milisekundach) na zakończenie sesji DHCP.

Przykład: 1500
Czas trwania Alias Alias do dhcpSessionDuration
DhcpSrcDHCId  Opcjonalnie String Identyfikator klienta DHCP zdefiniowany przez RFC4701
DhcpCircuitId  Opcjonalnie String Identyfikator obwodu DHCP zdefiniowany przez RFC3046
DhcpSubscriberId  Opcjonalnie String Identyfikator subskrybenta DHCP zdefiniowany przez RFC3993
DhcpVendorClassId   Opcjonalnie String Identyfikator klasy dostawcy DHCP zdefiniowany przez RFC3925.
DhcpVendorClass   Opcjonalnie String Klasa dostawcy DHCP zdefiniowana przez RFC3925.
DhcpUserClassId   Opcjonalnie String Identyfikator klasy użytkownika DHCP zdefiniowany przez RFC3004.
DhcpUserClass  Opcjonalnie String Klasa użytkownika DHCP zdefiniowana przez RFC3004.

Następne kroki

Aby uzyskać więcej informacji, zobacz: