Referens för DHCP-normaliseringsschema för ADVANCED Security Information Model (ASIM) (offentlig förhandsversion)
DHCP-informationsmodellen används för att beskriva händelser som rapporteras av en DHCP-server och används av Microsoft Sentinel för att aktivera källagnostisk analys.
Mer information finns i Normalisering och ASIM (Advanced Security Information Model).
Viktigt!
DHCP-normaliseringsschemat är för närvarande i förhandsversion. Den här funktionen tillhandahålls utan ett serviceavtal och rekommenderas inte för produktionsarbetsbelastningar.
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Schemaöversikt
ASIM DHCP-schemat representerar DHCP-serveraktivitet, inklusive att hantera begäranden om DHCP IP-adress som leasas från klientsystem och uppdatera en DNS-server med de lån som beviljats.
De viktigaste fälten i en DHCP-händelse är SrcIpAddr och SrcHostname, som DHCP-servern binder genom att bevilja lånet, och som aliaseras av fälten IpAddr respektive Hostname . Fältet SrcMacAddr är också viktigt eftersom det representerar den klientdator som används när en IP-adress inte hyrs.
En DHCP-server kan avvisa en klient, antingen på grund av säkerhetsproblem eller på grund av nätverksmättnad. Den kan också placera en klient i karantän genom att leasa till den en IP-adress som ansluter den till ett begränsat nätverk. Fälten EventResult, EventResultDetails och DvcAction innehåller information om DHCP-serverns svar och åtgärd.
Ett låns varaktighet lagras i fältet DhcpLeaseDuration .
Schemainformation
ASIM är i linje med OSSEM-projektet (Open Source Security Events Metadata).
OSSEM har inget DHCP-schema som är jämförbart med ASIM DHCP-schemat.
Vanliga ASIM-fält
Viktigt!
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för DHCP-händelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Enumerated | Ange åtgärden som rapporterats av posten. Möjliga värden är Assign, Renewoch Release DNS Update. Exempel: Assign |
| EventSchemaVersion | Obligatorisk | String | Den version av schemat som dokumenteras här är 0.1. |
| EventSchema | Obligatorisk | String | Namnet på schemat som dokumenteras här är DhcpEvent. |
| Dvc-fält | - | - | För DHCP-händelser refererar enhetsfält till systemet som rapporterar DHCP-händelsen. |
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Alla riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett specifikt schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderat | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
DHCP-specifika fält
Fälten nedan är specifika för DHCP-händelser, men många liknar fält i andra scheman och följer samma namngivningskonvention.
| Fält | Klass | Typ | Anteckningar |
|---|---|---|---|
| SrcIpAddr | Obligatorisk | IP-adress | IP-adressen som tilldelats klienten av DHCP-servern. Exempel: 192.168.12.1 |
| IpAddr | Alias | Alias för SrcIpAddr | |
| RequestedIpAddr | Valfritt | IP-adress | IP-adressen som begärs av DHCP-klienten när den är tillgänglig. Exempel: 192.168.12.3 |
| SrcHostname | Obligatorisk | String | Värdnamnet för enheten som begär DHCP-lånet. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4D |
| Värdnamn | Alias | Alias för SrcHostname | |
| SrcDomain | Rekommenderat | String | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Villkorsstyrd | Enumerated | Typen av SrcDomain, om det är känt. Möjliga värden omfattar: - Windows (till exempel: contoso)- FQDN (till exempel: microsoft.com)Krävs om SrcDomain används. |
| SrcFQDN | Valfritt | String | Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värdnamnsformat. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Valfritt | String | ID:t för källenheten enligt rapporten i posten. Till exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valfritt | String | Molnplattformens omfångs-ID som enheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcScope | Valfritt | String | Molnplattformsomfånget som enheten tillhör. SrcDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcIdType | Villkorsstyrd | Enumerated | Typ av SrcDvcId, om det är känt. Möjliga värden omfattar: - AzureResourceId- MDEidOm flera ID:er är tillgängliga använder du det första från listan ovan och lagrar de andra i SrcDvcAzureResourceId respektive SrcDvcMDEid. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfritt | Enumerated | Typ av källenhet. Möjliga värden omfattar: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Valfritt | String | En maskinläsbar, alfanumerisk, unik representation av källanvändaren. Format och typer som stöds är: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Lagra ID-typen i fältet SrcUserIdType . Om andra ID:er är tillgängliga rekommenderar vi att du normaliserar fältnamnen till SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId respektive UserAwsId. Exempel: S-1-12 |
| SrcUserIdType | Villkorsstyrd | Enumerated | Typen av ID som lagras i fältet SrcUserId . Värden som stöds är: SID, UIS, AADID, OktaIdoch AWSId. |
| SrcUsername | Valfritt | String | Användarnamnet Källa, inklusive domäninformation när det är tillgängligt. Använd något av följande format och i följande prioritetsordning: - Upn/E-post: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Enkel: johndow. Använd endast formuläret Simple om domäninformation inte är tillgänglig.Lagra användarnamnstypen i fältet SrcUsernameType . Om andra ID:er är tillgängliga rekommenderar vi att du normaliserar fältnamnen till SrcUserUpn, SrcUserWindows och SrcUserDn. Mer information finns i Användarentiteten. Exempel: AlbertE |
| Användare | Alias | Alias för SrcUsername | |
| SrcUsernameType | Villkorsstyrd | Enumerated | Anger typen av användarnamn som lagras i fältet SrcUsername . Värden som stöds är: UPN, Windows, DNoch Simple. Mer information finns i Användarentiteten.Exempel: Windows |
| SrcUserType | Valfritt | Enumerated | Typ av aktör. Tillåtna värden är: - Regular- Machine- Admin- System- Application- Service Principal- OtherObs! Värdet kan anges i källposten med olika termer, som bör normaliseras till dessa värden. Lagra det ursprungliga värdet i fältet EventOriginalUserType . |
| SrcOriginalUserType | Den ursprungliga källanvändartypen, om den tillhandahålls av källan. | ||
| SrcMacAddr | Obligatorisk | Mac-adress | MAC-adressen för klienten som begär ett DHCP-lån. Obs! Windows DHCP-servern loggar MAC-adressen på ett sätt som inte är standard och utelämnar kolonen, som ska infogas av parsern. Exempel: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | Valfritt | Integer | Längden på lånet som beviljats en klient i sekunder. |
| DhcpSessionId | Valfritt | sträng | Sessionsidentifieraren som rapporteras av rapporteringsenheten. För Windows DHCP-servern anger du detta till fältet TransactionID. Exempel: 2099570186 |
| SessionId | Alias | String | Alias till DhcpSessionId |
| DhcpSessionDuration | Valfritt | Integer | Hur lång tid, i millisekunder, för slutförandet av DHCP-sessionen. Exempel: 1500 |
| Varaktighet | Alias | Alias till DhcpSessionDuration | |
| DhcpSrcDHCId | Valfritt | String | DHCP-klient-ID:t enligt definitionen i RFC4701 |
| DhcpCircuitId | Valfritt | String | DHCP-krets-ID:t enligt definitionen i RFC3046 |
| DhcpSubscriberId | Valfritt | String | DHCP-prenumerant-ID:t enligt definitionen i RFC3993 |
| DhcpVendorClassId | Valfritt | String | DHCP-leverantörsklass-ID:t enligt definitionen i RFC3925. |
| DhcpVendorClass | Valfritt | String | DHCP-leverantörsklassen enligt definitionen i RFC3925. |
| DhcpUserClassId | Valfritt | String | DHCP-användarklass-ID:t enligt definitionen i RFC3004. |
| DhcpUserClass | Valfritt | String | DHCP-användarklassen enligt definitionen i RFC3004. |
Nästa steg
Mer information finns i: