مشاركة عبر

مرجع مخطط تسوية DHCP لنموذج معلومات الأمان المتقدم (ASIM) (إصدار أولي عام)

  • مقالة

يتم استخدام نموذج معلومات DHCP لوصف الأحداث التي تم الإبلاغ عنها بواسطة خادم DHCP، ويتم استخدامه بواسطة Microsoft Azure Sentinel لتمكين التحليلات غير المحددة المصدر.

لمزيد من المعلومات، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).

هام

مخطط تسوية DHCP في الإصدار الأولي حالياً. تُوفّر هذه الميزة دون الحاجة إلى اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال العمل الخاصة بالإنتاج.

تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

نظرة عامة على المخطط

يمثل مخطط ASIM DHCP نشاط خادم DHCP، بما في ذلك خدمة طلبات عنوان IP لـ DHCP المستأجرة من أنظمة العميل وتحديث خادم DNS مع الإيجارات الممنوحة.

أهم الحقول في حدث DHCP هي SrcIpAddr وSrcHostname، والتي يربطها خادم DHCP بمنح عقد الإيجار، وتتم تسميتها بواسطة IpAddr واسم المضيف الحقول على التوالي. يعد الحقل SrcMacAddr مهماً أيضاً لأنه يمثل جهاز العميل المستخدم عندما لا يتم تأجير عنوان IP.

قد يرفض خادم DHCP العميل، إما بسبب مخاوف أمنية أو بسبب تشبع الشبكة. قد يقوم أيضاً بعزل العميل عن طريق تأجيره لعنوان IP الذي من شأنه توصيله بشبكة محدودة. توفر الحقول EventResultو EventResultDetails وDvcAction معلومات بشأن استجابة خادم DHCP وإجراءاته.

يتم تخزين مدة عقد الإيجار في الحقل DhcpLeaseDuration.

تفاصيل المُخطط

يتوافق ASIM مع مشروع Open Source Security Events بيانات التعريف (OSSEM).

لا يحتوي OSSEM على مخطط DHCP يمكن مقارنته بمخطط ASIM DHCP.

حقول ASIM المشتركة

هام

توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.

الحقول المشتركة مع إرشادات محددة

تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث DHCP:

ميدان فصل النوع الوصف
EventType إلزامي Enumerated أشر إلى العملية التي أبلغ عنها السجل.

القيم المحتملة هي Assign وRenewRelease DNS Update.

مثال: Assign
EventSchemaVersion إلزامي السلسلة‬ إصدار مخطط قاعدة البيانات الموثق هنا هو 0.1.
EventSchema إلزامي السلسلة‬ اسم المخطط الموثق هنا هو DhcpEvent.
حقول Dvc - - بالنسبة لأحداث DHCP، تشير حقول الجهاز إلى النظام الذي يُبلغ عن حدث DHCP.

جميع الحقول الشائعة

تُعد الحقول التي تظهر في الجدول أدناه مشتركة في جميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع المقالة الحقول المشتركة لـ ASIM.

فصل الحقول
إلزامي - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
مستحسن - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
اختياري - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- مالك الحدث
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

الحقول الخاصة بـ DHCP

الحقول أدناه خاصة بأحداث DHCP، لكن العديد منها يشبه الحقول الموجودة في المخططات الأخرى ويتبع نفس اصطلاح التسمية.

ميدان فصل النوع ملاحظات
SrcIpAddr إلزامي عنوان IP عنوان IP المعين للعميل بواسطة خادم DHCP.

مثال: 192.168.12.1
IpAddr الاسم المستعار الاسم المستعار لـ SrcIpAddr
RequestedIpAddr اختياري عنوان IP عنوان IP الذي يطلبه عميل DHCP، عند توفره.

مثال: 192.168.12.3
SrcHostname إلزامي السلسلة‬ اسم مضيف الجهاز الذي يطلب عقد إيجار DHCP. إذا لم يتوفر اسم الجهاز، فخزن عنوان IP ذا الصلة في هذا الحقل.

مثال: DESKTOP-1282V4D
اسم المضيف الاسم المستعار الاسم المستعار لـ SrcHostname
SrcDomain مستحسن السلسلة‬ مجال الجهاز المصدر.

مثال: Contoso
SrcDomainType شرطي Enumerated نوع SrcDomain، إذا كان معروفًا. تشمل القيم المتاحة ما يلي:
- Windows(مثل: contoso)
- FQDN(مثل: microsoft.com)

مطلوب في حال استخدام SrcDomain.
SrcFQDN اختياري السلسلة‬ اسم مضيف الجهاز المصدر، بما يشمل معلومات المجال عند توفرها.

ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس الحقل SrcDomainType التنسيق المُستخدم.

مثال: Contoso\DESKTOP-1282V4D
SrcDvcId اختياري السلسلة‬ معرّف الجهاز المصدر كما تم الإبلاغ به في السجل.

على سبيل المثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId اختياري السلسلة‬ معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS.
SrcDvcScope اختياري السلسلة‬ نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS.
SrcDvcIdType شرطي Enumerated نوع SrcDvcId، إذا كان معروفًا. تشمل القيم المتاحة ما يلي:
- AzureResourceId
- MDEid

في حالة توفر معرفات متعددة، استخدم المعرف الأول من القائمة أعلاه، وقم بتخزين المعرفات الأخرى في SrcDvcAzureResourceId وSrcDvcMDEid، على التوالي.

ملاحظة: هذا الحقل مطلوب في حال استخدام SrcDvcId.
SrcDeviceType اختياري Enumerated نوع الجهاز المصدر. تشمل القيم المتاحة ما يلي:
- Computer
- Mobile Device
- IOT Device
- Other
SrcUserId اختياري السلسلة‬ تمثيل فريد، أبجدي رقمي، قابل للقراءة آليًا للمستخدم المصدر. التنسيق والأنواع المدعومة تشمل:
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (معرف Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId: 00urjk4znu3BcncfY0h7
- AWSId: 72643944673

قم بتخزين نوع المعرف في الحقل SrcUserIdType. إذا كانت المعرفات الأخرى متوفرة، نوصي بتطبيع أسماء الحقول إلى SrcUserSid، وSrcUserUid، وSrcUserAadId، وSrcUserOktaId وUserAwsId على الترتيب.

مثال: S-1-12
SrcUserIdType شرطي Enumerated نوع المعرف المخزن في حقل SrcUserId. تتضمن القيم المسموح بها: SID وUISAADIDOktaIdAWSId.
SrcUsername اختياري السلسلة‬ اسم المستخدم المصدر، بما في ذلك معلومات المجال عند توفرها. استخدم أحد التنسيقات التالية وبالترتيب التالي للأولوية:
- اسم المستخدم الأساسي/عنوان البريد الإلكتروني: johndow@contoso.com
- Windows: Contoso\johndow
- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- بسيط: johndow. استخدم النموذج البسيط فقط في حالة عدم توفر معلومات المجال.

تخزين نوع اسم المستخدم في حقل SrcUsernameType. إذا كانت المعرفات الأخرى متوفرة، نوصي بتطبيع أسماء الحقول إلىSrcUserUpn، وSrcUserWindows وSrcUserDn.

لمزيد من المعلومات، راجع كيان المستخدم.

مثال: AlbertE
User الاسم المستعار الاسم المستعار لـ SrcUsername
SrcUsernameType شرطي Enumerated يحدد نوع اسم المستخدم المخزن في حقل SrcUsername. القيم المدعومة هي UPN، وWindows، وDN وSimple. لمزيد من المعلومات، راجع كيان المستخدم.

مثال: Windows
SrcUserType اختياري Enumerated نوع الفاعل. القيم المسموح بها هي:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب أن تكون مطابقة لهذه القيم. تخزين القيمة الأصلية في الحقل EventOriginalUserType.
SrcOriginalUserType نوع مستخدم المصدر الأصلي، إذا قدمه المصدر.
SrcMacAddr إلزامي عنوان ماك عنوان MAC الخاص بالعميل الذي يطلب عقد إيجار DHCP.

ملاحظة: يقوم خادم Windows DHCP بتسجيل عنوان MAC بطريقة غير قياسية، مع حذف النقطتين، والتي يجب إدخالها بواسطة المحلل اللغوي.

مثال: 06:10:9f:eb:8f:14
DhcpLeaseDuration اختياري رقم صحيح مدة عقد الإيجار الممنوح للعميل بالثواني.
DhcpSessionId اختياري سلسلة معرّف الجلسة كما تم الإبلاغ عنه بواسطة جهاز التقارير. بالنسبة لخادم Windows DHCP، قم بتعيين هذا على حقل TransactionID.

مثال: 2099570186
معرف الجلسة الاسم المستعار السلسلة‬ الاسم المستعار ل DhcpSessionId
DhcpSessionDuration اختياري رقم صحيح مقدار الوقت بالملّي ثانية لإكمال جلسة DHCP.

مثال: 1500
المدة الاسم المستعار الاسم المستعار لـ DhcpSessionDuration
DhcpSrcDHCId  اختياري السلسلة‬ معرف عميل DHCP، كما هو محدد بواسطة RFC4701
DhcpCircuitId  اختياري السلسلة‬ معرف دائرة DHCP، كما هو محدد بواسطة RFC3046
DhcpSubscriberId  اختياري السلسلة‬ معرف مشترك DHCP، كما هو محدد بواسطة RFC3993
DhcpVendorClassId   اختياري السلسلة‬ معرف فئة بائع DHCP، كما هو محدد بواسطة RFC3925.
DhcpVendorClass   اختياري السلسلة‬ فئة بائع DHCP، كما هو محدد بواسطة RFC3925.
DhcpUserClassId   اختياري السلسلة‬ معرف فئة مستخدم DHCP، كما هو محدد بواسطة RFC3004.
DhcpUserClass  اختياري السلسلة‬ فئة مستخدم DHCP، كما هو محدد بواسطة RFC3004.

الخطوات التالية

لمزيد من المعلومات، راجع: