A referência do esquema de normalização DHCP ASIM (Advanced Security Information Model) (Pré-visualização pública)
O modelo de informações DHCP é usado para descrever eventos relatados por um servidor DHCP e é usado pelo Microsoft Sentinel para habilitar análises agnósticas de origem.
Para obter mais informações, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Importante
O esquema de normalização DHCP está atualmente em VISUALIZAÇÃO. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.
Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Descrição geral do esquema
O esquema DHCP ASIM representa a atividade do servidor DHCP, incluindo o atendimento de solicitações de endereço IP DHCP concedido de sistemas cliente e a atualização de um servidor DNS com as concessões concedidas.
Os campos mais importantes em um evento DHCP são SrcIpAddr e SrcHostname, que o servidor DHCP vincula concedendo a concessão, e são aliased pelos campos IpAddr e Hostname, respectivamente. O campo SrcMacAddr também é importante, pois representa a máquina cliente usada quando um endereço IP não é alugado.
Um servidor DHCP pode rejeitar um cliente, devido a preocupações de segurança ou devido à saturação da rede. Ele também pode colocar um cliente em quarentena, alugando-lhe um endereço IP que o conectaria a uma rede limitada. Os campos EventResult, EventResultDetails e DvcAction fornecem informações sobre a resposta e a ação do servidor DHCP.
A duração de uma concessão é armazenada no campo DhcpLeaseDuration .
Detalhes do esquema
O ASIM está alinhado com o projeto Open Source Security Events Metadata (OSSEM).
OSSEM não tem um esquema DHCP comparável ao esquema DHCP ASIM.
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.
Campos comuns com orientações específicas
A lista a seguir menciona campos que têm diretrizes específicas para eventos DHCP:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Tipo de Evento | Obrigatório | Enumerated | Indicar a operação comunicada pelo registo. Os valores possíveis são Assign, RenewRelease e DNS Update. Exemplo: Assign |
| EventSchemaVersion | Obrigatório | String | A versão do esquema documentada aqui é 0.1. |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é DhcpEvent. |
| Campos Dvc | - | - | Para eventos DHCP, os campos de dispositivo referem-se ao sistema que relata o evento DHCP. |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, consulte o artigo Campos comuns do ASIM.
| Classe | Campos |
|---|---|
| Obrigatório | - EventCount - EventStartTime - EventEndTime - Tipo de Evento - EventResult - EventoProduto - EventVendor - EventSchema - EventSchemaVersion - DVC |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional | - EventMessage - SubTipo de Evento - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope |
Campos específicos do DHCP
Os campos abaixo são específicos para eventos DHCP, mas muitos são semelhantes a campos em outros esquemas e seguem a mesma convenção de nomenclatura.
| Campo | Classe | Tipo | Notas |
|---|---|---|---|
| SrcIpAddr | Obrigatório | Endereço IP | O endereço IP atribuído ao cliente pelo servidor DHCP. Exemplo: 192.168.12.1 |
| IpAddr | Alias | Alias para SrcIpAddr | |
| RequestedIpAddr | Opcional | Endereço IP | O endereço IP solicitado pelo cliente DHCP, quando disponível. Exemplo: 192.168.12.3 |
| SrcHostname | Obrigatório | String | O nome do host do dispositivo que solicita a concessão DHCP. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante neste campo. Exemplo: DESKTOP-1282V4D |
| Nome de Anfitrião | Alias | Alias para SrcHostname | |
| Domínio Src | Recomendado | String | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | Enumerated | O tipo de SrcDomain, se conhecido. Valores possíveis incluem: - Windows (tais como: contoso)- FQDN (tais como: microsoft.com)Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | String | O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis. Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcional | String | A ID do dispositivo de origem, conforme relatado no registro. Por exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | String | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| SrcDvcIdType | Condicional | Enumerated | O tipo de SrcDvcId, se conhecido. Valores possíveis incluem: - AzureResourceId- MDEidSe várias IDs estiverem disponíveis, use a primeira da lista acima e armazene as outras em SrcDvcAzureResourceId e SrcDvcMDEid, respectivamente. Nota: Este campo é obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | Enumerated | O tipo do dispositivo de origem. Valores possíveis incluem: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Opcional | String | Uma representação única, alfanumérica e legível por máquina do utilizador de origem. O formato e os tipos suportados incluem: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (ID do Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Armazene o tipo de ID no campo SrcUserIdType . Se outros IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId e UserAwsId, respectivamente. Exemplo: S-1-12 |
| SrcUserIdType | Condicional | Enumerated | O tipo de ID armazenado no campo SrcUserId . Os valores suportados incluem: SID, UIS, AADID, OktaIde AWSId. |
| SrcUsername | Opcional | String | O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. Use um dos seguintes formatos e na seguinte ordem de prioridade: - Upn/E-mail: johndow@contoso.com- Janelas: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Simples: johndow. Use o formulário Simples somente se as informações do domínio não estiverem disponíveis.Armazene o tipo de nome de usuário no campo SrcUsernameType . Se outras IDs estiverem disponíveis, recomendamos que você normalize os nomes de campo para SrcUserUpn, SrcUserWindows e SrcUserDn. Para obter mais informações, consulte A entidade Usuário. Exemplo: AlbertE |
| Utilizador | Alias | Alias para SrcUsername | |
| SrcUsernameType | Condicional | Enumerated | Especifica o tipo do nome de usuário armazenado no campo SrcUsername . Os valores suportados são: UPN, Windows, DNe Simple. Para obter mais informações, consulte A entidade Usuário.Exemplo: Windows |
| SrcUserType | Opcional | Enumerated | O tipo de ator. Os valores permitidos são: - Regular- Machine- Admin- System- Application- Service Principal- OtherNota: O valor pode ser fornecido no registro de origem usando termos diferentes, que devem ser normalizados para esses valores. Armazene o valor original no campo EventOriginalUserType . |
| SrcOriginalUserType | O tipo de usuário de origem original, se fornecido pela fonte. | ||
| SrcMacAddr | Obrigatório | Endereço Mac | O endereço MAC do cliente que solicita uma concessão DHCP. Nota: O servidor DHCP do Windows registra o endereço MAC de forma não padrão, omitindo os dois pontos, que devem ser inseridos pelo analisador. Exemplo: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | Opcional | Número inteiro | A duração do contrato de arrendamento concedido a um cliente, em segundos. |
| DhcpSessionId | Opcional | string | O identificador de sessão conforme relatado pelo dispositivo de relatório. Para o servidor DHCP do Windows, defina-o como o campo TransactionID. Exemplo: 2099570186 |
| SessionId | Alias | String | Alias para DhcpSessionId |
| DhcpSessionDuration | Opcional | Número inteiro | A quantidade de tempo, em milissegundos, para a conclusão da sessão DHCP. Exemplo: 1500 |
| Duração | Alias | Alias para DhcpSessionDuration | |
| DhcpSrcDHCId | Opcional | String | O ID do cliente DHCP, conforme definido por RFC4701 |
| DhcpCircuitId | Opcional | String | O ID do circuito DHCP, conforme definido por RFC3046 |
| DhcpSubscriberId | Opcional | String | O ID do assinante DHCP, conforme definido por RFC3993 |
| DhcpVendorClassId | Opcional | String | A ID da Classe do Fornecedor DHCP, conforme definido por RFC3925. |
| DhcpVendorClass | Opcional | String | A Classe de Fornecedor DHCP, conforme definido por RFC3925. |
| DhcpUserClassId | Opcional | String | A ID da Classe de Usuário DHCP, conforme definido por RFC3004. |
| DhcpUserClass | Opcional | String | A Classe de Usuário DHCP, conforme definido por RFC3004. |
Próximos passos
Para obter mais informações, consulte:
- Assista ao Webinar da ASIM ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)