Dokumentacja schematu normalizacji DHCP (ASIM) advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)
Model informacyjny DHCP służy do opisywania zdarzeń zgłaszanych przez serwer DHCP i jest używany przez usługę Microsoft Sentinel do włączania analizy niezależnej od źródła.
Aby uzyskać więcej informacji, zobacz Normalizacja i Model zaawansowanych informacji o zabezpieczeniach (ASIM) .
Ważne
Schemat normalizacji DHCP jest obecnie w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych.
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Przegląd schematu
Schemat DHCP karty ASIM reprezentuje aktywność serwera DHCP, w tym obsługę żądań dla adresu IP DHCP dzierżawionego z systemów klienckich i aktualizowanie serwera DNS przy użyciu udzielonych dzierżaw.
Najważniejsze pola w zdarzeniu DHCP to SrcIpAddr i SrcHostname, które serwer DHCP wiąże, udzielając dzierżawy, i są aliasami odpowiednio pól IpAddr i Hostname . Pole SrcMacAddr jest również ważne, ponieważ reprezentuje maszynę klienta używaną, gdy adres IP nie jest dzierżawiony.
Serwer DHCP może odrzucić klienta ze względu na obawy dotyczące zabezpieczeń lub z powodu nasycenia sieci. Może również poddać kwarantannie klienta, dzierżawiąc mu adres IP, który łączy go z ograniczoną siecią. Pola EventResult, EventResultDetails i DvcAction zawierają informacje o odpowiedzi i akcji serwera DHCP.
Czas trwania dzierżawy jest przechowywany w polu DhcpLeaseDuration .
Szczegóły schematu
Usługa ASIM jest zgodna z projektem OSSEM (Open Source Security Events Metadata).
System OSSEM nie ma schematu DHCP porównywalnego ze schematem DHCP karty ASIM.
Typowe pola karty ASIM
Ważne
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń DHCP:
Pole | Klasa | Type | Opis |
---|---|---|---|
EventType | Obowiązkowy | Enumerated | Wskaż operację zgłoszoną przez rekord. Możliwe wartości to Assign , Renew Release i DNS Update . Przykład: Assign |
EventSchemaVersion | Obowiązkowy | String | Wersja schematu udokumentowanego tutaj to 0.1. |
EventSchema | Obowiązkowy | String | Nazwa schematu udokumentowanego tutaj to DhcpEvent. |
Pola dvc | - | - | W przypadku zdarzeń DHCP pola urządzeń odwołują się do systemu, który zgłasza zdarzenie DHCP. |
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM).
Klasa | Pola |
---|---|
Obowiązkowy | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
Zalecane | - EventResultDetails - EventSeverity - Identyfikator zdarzenia - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Opcjonalnie | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Właściciel zdarzenia - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Dodatkowe pola - DvcDescription - DvcScopeId - DvcScope |
Pola specyficzne dla protokołu DHCP
Poniższe pola są specyficzne dla zdarzeń DHCP, ale wiele z tych pól jest podobnych do pól w innych schematach i postępuje zgodnie z tą samą konwencją nazewnictwa.
Pole | Klasa | Type | Uwagi |
---|---|---|---|
SrcIpAddr | Obowiązkowy | Adres IP | Adres IP przypisany do klienta przez serwer DHCP. Przykład: 192.168.12.1 |
IpAddr | Alias | Alias dla elementu SrcIpAddr | |
RequestedIpAddr | Opcjonalnie | Adres IP | Adres IP żądany przez klienta DHCP, jeśli jest dostępny. Przykład: 192.168.12.3 |
SrcHostname | Obowiązkowy | String | Nazwa hosta urządzenia żądającego dzierżawy DHCP. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. Przykład: DESKTOP-1282V4D |
Nazwa hosta | Alias | Alias nazwy SrcHostname | |
SrcDomain | Zalecane | String | Domena urządzenia źródłowego. Przykład: Contoso |
SrcDomainType | Warunkowe | Enumerated | Typ SrcDomain, jeśli jest znany. Możliwe wartości to: - Windows (na przykład: contoso )- FQDN (na przykład: microsoft.com )Wymagane, jeśli jest używany SrcDomain . |
SrcFQDN | Opcjonalnie | String | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: Contoso\DESKTOP-1282V4D |
SrcDvcId | Opcjonalnie | String | Identyfikator urządzenia źródłowego zgłoszony w rekordzie. Na przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 . |
SrcDvcScopeId | Opcjonalnie | String | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
SrcDvcScope | Opcjonalnie | String | Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
SrcDvcIdType | Warunkowe | Enumerated | Typ SrcDvcId, jeśli jest znany. Możliwe wartości to: - AzureResourceId - MDEid Jeśli dostępnych jest wiele identyfikatorów, użyj pierwszej z powyższej listy i zapisz pozostałe w identyfikatorach SrcDvcAzureResourceId i SrcDvcMDEid. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId . |
SrcDeviceType | Opcjonalnie | Enumerated | Typ urządzenia źródłowego. Możliwe wartości to: - Computer - Mobile Device - IOT Device - Other |
SrcUserId | Opcjonalnie | String | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. Format i obsługiwane typy obejmują: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500 - UID (Linux): 4578 - AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa - OktaId: 00urjk4znu3BcncfY0h7 - AWSId: 72643944673 Zapisz typ identyfikatora w polu SrcUserIdType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól odpowiednio do SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId i UserAwsId. Przykład: S-1-12 |
SrcUserIdType | Warunkowe | Enumerated | Typ identyfikatora przechowywanego w polu SrcUserId . Obsługiwane wartości to: SID , , AADID UIS , OktaId i AWSId . |
SrcUsername | Opcjonalnie | String | Nazwa użytkownika źródła, w tym informacje o domenie, gdy są dostępne. Użyj jednego z następujących formatów i w następującej kolejności priorytetu: - Nazwa upn/adres e-mail: johndow@contoso.com - Windows: Contoso\johndow - DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM - Proste: johndow . Użyj formularza prostego tylko wtedy, gdy informacje o domenie nie są dostępne.Zapisz typ nazwy użytkownika w polu SrcUsernameType . Jeśli są dostępne inne identyfikatory, zalecamy znormalizowanie nazw pól do nazw SrcUserUpn, SrcUserWindows i SrcUserDn. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: AlbertE |
Użytkownik | Alias | Alias dla nazwy użytkownika SrcUsername | |
SrcUsernameType | Warunkowe | Enumerated | Określa typ nazwy użytkownika przechowywanej w polu SrcUsername . Obsługiwane wartości to: UPN , , DN Windows i Simple . Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik.Przykład: Windows |
SrcUserType | Opcjonalnie | Enumerated | Typ aktora. Dozwolone wartości to: - Regular - Machine - Admin - System - Application - Service Principal - Other Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Zapisz oryginalną wartość w polu EventOriginalUserType . |
SrcOriginalUserType | Oryginalny typ użytkownika źródłowego, jeśli jest dostarczany przez źródło. | ||
SrcMacAddr | Obowiązkowy | Adres Mac | Adres MAC klienta żądającego dzierżawy DHCP. Uwaga: Serwer DHCP systemu Windows rejestruje adres MAC w sposób nietypowy, pomijając dwukropki, które powinny być wstawione przez analizator. Przykład: 06:10:9f:eb:8f:14 |
DhcpLeaseDuration | Opcjonalnie | Integer | Długość dzierżawy przyznanej klientowi w sekundach. |
DhcpSessionId | Opcjonalnie | string | Identyfikator sesji zgłoszony przez urządzenie raportowania. W przypadku serwera DHCP systemu Windows ustaw wartość w polu TransactionID. Przykład: 2099570186 |
Identyfikator sesji | Alias | String | Alias na DhcpSessionId |
DhcpSessionDuration | Opcjonalnie | Integer | Czas( w milisekundach) na zakończenie sesji DHCP. Przykład: 1500 |
Czas trwania | Alias | Alias do dhcpSessionDuration | |
DhcpSrcDHCId | Opcjonalnie | String | Identyfikator klienta DHCP zdefiniowany przez RFC4701 |
DhcpCircuitId | Opcjonalnie | String | Identyfikator obwodu DHCP zdefiniowany przez RFC3046 |
DhcpSubscriberId | Opcjonalnie | String | Identyfikator subskrybenta DHCP zdefiniowany przez RFC3993 |
DhcpVendorClassId | Opcjonalnie | String | Identyfikator klasy dostawcy DHCP zdefiniowany przez RFC3925. |
DhcpVendorClass | Opcjonalnie | String | Klasa dostawcy DHCP zdefiniowana przez RFC3925. |
DhcpUserClassId | Opcjonalnie | String | Identyfikator klasy użytkownika DHCP zdefiniowany przez RFC3004. |
DhcpUserClass | Opcjonalnie | String | Klasa użytkownika DHCP zdefiniowana przez RFC3004. |
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)