Referenční informace o schématu normalizace DHCP (Advanced Security Information Model) (Public Preview)
Informační model DHCP slouží k popisu událostí hlášených serverem DHCP a služba Microsoft Sentinel ji používá k povolení analýzy nezávislé na zdroji.
Další informace naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Důležité
Schéma normalizace DHCP je aktuálně ve verzi PREVIEW. Tato funkce je poskytována bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy.
Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Přehled schématu
Schéma ASIM DHCP představuje aktivitu serveru DHCP, včetně obsluhy žádostí o zapůjčení IP adresy DHCP z klientských systémů a aktualizace serveru DNS s udělenými zapůjčeními.
Nejdůležitější pole v události DHCP jsou SrcIpAddr a SrcHostname, které server DHCP sváže udělením zapůjčení a jsou aliasy pole IpAddr a Název hostitele v uvedeném pořadí. Pole SrcMacAddr je také důležité, protože představuje klientský počítač používaný při zapůjčení IP adresy.
Server DHCP může klienta odmítnout buď kvůli obavám zabezpečení, nebo kvůli sytosti sítě. Klient může také umístit klienta do karantény tím, že mu pronajímá IP adresu, která by ji připojila k omezené síti. Pole EventResult, EventResultDetails a DvcAction poskytují informace o odpovědi a akci serveru DHCP.
Doba trvání zapůjčení je uložena v poli DhcpLeaseDuration .
Podrobnosti schématu
ASIM je v souladu s projektem OSSEM (Open Source Security Events Metadata).
OSSEM nemá schéma DHCP srovnatelné se schématem ASIM DHCP.
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
Následující seznam uvádí pole, která mají specifické pokyny pro události DHCP:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Eventtype | Povinné | Enumerated | Uveďte operaci hlášenou záznamem. Možné hodnoty jsou Assign, RenewRelease a DNS Update. Příklad: Assign |
| EventSchemaVersion | Povinné | String | Verze schématu popsané zde je 0.1. |
| EventSchema | Povinné | String | Název schématu popsaného zde je DhcpEvent. |
| Pole Dvc | - | - | V případě událostí DHCP pole zařízení odkazují na systém, který hlásí událost DHCP. |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM.
| Třída | Pole |
|---|---|
| Povinné | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené | - EventResultDetails - EventSeverity - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Volitelné | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole specifická pro protokol DHCP
Následující pole jsou specifická pro události DHCP, ale řada z nich se podobá polím v jiných schématech a řídí se stejnými konvencemi pojmenování.
| Pole | Třída | Typ | Poznámky |
|---|---|---|---|
| SrcIpAddr | Povinné | IP adresa | IP adresa přiřazená klientovi serverem DHCP. Příklad: 192.168.12.1 |
| IpAddr | Alias | Alias pro SrcIpAddr | |
| RequestedIpAddr | Volitelné | IP adresa | IP adresa požadovaná klientem DHCP, pokud je k dispozici. Příklad: 192.168.12.3 |
| SrcHostname | Povinné | String | Název hostitele zařízení požadujícího zapůjčení DHCP. Pokud není k dispozici žádný název zařízení, uložte do tohoto pole příslušnou IP adresu. Příklad: DESKTOP-1282V4D |
| Název hostitele | Alias | Alias pro SrcHostname | |
| SrcDomain | Doporučené | String | Doména zdrojového zařízení. Příklad: Contoso |
| SrcDomainType | Podmíněné | Enumerated | Typ SrcDomain, pokud je znám. Možné hodnoty zahrnují: - Windows (například: contoso)- FQDN (například: microsoft.com)Vyžaduje se, pokud se používá doména SrcDomain . |
| SrcFQDN | Volitelné | String | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud je k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. Pole SrcDomainType odráží použitý formát. Příklad: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Volitelné | String | ID zdrojového zařízení hlášené v záznamu. Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcScope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcIdType | Podmíněné | Enumerated | Typ SrcDvcId, pokud je známý. Možné hodnoty zahrnují: - AzureResourceId- MDEidPokud je k dispozici více ID, použijte první z výše uvedeného seznamu a uložte ostatní do SrcDvcAzureResourceId a SrcDvcMDDEid. Poznámka: Toto pole se vyžaduje, pokud se použije SrcDvcId . |
| SrcDeviceType | Volitelné | Enumerated | Typ zdrojového zařízení. Možné hodnoty zahrnují: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace zdrojového uživatele. Mezi formáty a podporované typy patří: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Do pole SrcUserIdType uložte typ ID. Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId a UserAwsId. Příklad: S-1-12 |
| SrcUserIdType | Podmíněné | Enumerated | Typ ID uloženého v poli SrcUserId . Mezi podporované hodnoty patří: SID, UIS, AADID, OktaIda AWSId. |
| SrcUsername | Volitelné | String | Uživatelské jméno zdroje, včetně informací o doméně, pokud jsou k dispozici. Použijte jeden z následujících formátů a v následujícím pořadí priorit: - Hlavní název/e-mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Jednoduché: johndow. Jednoduchý formulář použijte pouze v případě, že informace o doméně nejsou k dispozici.Do pole SrcUsernameType uložte typ uživatelského jména. Pokud jsou k dispozici další ID, doporučujeme normalizovat názvy polí na SrcUserUpn, SrcUserWindows a SrcUserDn. Další informace naleznete v tématu Entita Uživatel. Příklad: AlbertE |
| Uživatel | Alias | Alias pro SrcUsername | |
| SrcUsernameType | Podmíněné | Enumerated | Určuje typ uživatelského jména uloženého v poli SrcUsername . Podporované hodnoty jsou: UPN, Windows, DNa Simple. Další informace naleznete v tématu Entita Uživatel.Příklad: Windows |
| SrcUserType | Volitelné | Enumerated | Typ objektu Actor. Povolené hodnoty jsou následující: - Regular- Machine- Admin- System- Application- Service Principal- OtherPoznámka: Hodnota může být uvedena ve zdrojovém záznamu pomocí různých termínů, které by měly být normalizovány na tyto hodnoty. Uložte původní hodnotu do pole EventOriginalUserType . |
| SrcOriginalUserType | Původní typ uživatele zdroje, pokud zdroj poskytuje. | ||
| SrcMacAddr | Povinné | Adresa Mac | Adresa MAC klienta požadujícího zapůjčení DHCP. Poznámka: Server DHCP systému Windows protokoluje adresu MAC nestandardním způsobem, který by měl vložit analyzátor. Příklad: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | Volitelné | Celé číslo | Délka zapůjčení udělená klientovi v sekundách. |
| DhcpSessionId | Volitelné | string | Identifikátor relace hlášený zařízením pro generování sestav. Pro server DHCP systému Windows nastavte pole TransactionID. Příklad: 2099570186 |
| Sessionid | Alias | String | Alias pro DhcpSessionId |
| DhcpSessionDuration | Volitelné | Celé číslo | Doba dokončení relace DHCP v milisekundách. Příklad: 1500 |
| Doba trvání | Alias | Alias dhcpSessionDuration | |
| DhcpSrcDHCId | Volitelné | String | ID klienta DHCP definované RFC4701 |
| DhcpCircuitId | Volitelné | String | ID okruhu DHCP definované RFC3046 |
| DhcpSubscriberId | Volitelné | String | ID odběratele DHCP definované RFC3993 |
| DhcpVendorClassId | Volitelné | String | ID třídy dodavatele DHCP definované RFC3925. |
| DhcpVendorClass | Volitelné | String | Třída dodavatele DHCP definovaná RFC3925. |
| DhcpUserClassId | Volitelné | String | ID třídy uživatele DHCP definované RFC3004. |
| DhcpUserClass | Volitelné | String | Třída uživatele DHCP definovaná RFC3004. |
Další kroky
Další informace naleznete v tématu: