Freigeben über


Referenz zum Schema für die DHCP-Normalisierung des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) (öffentliche Vorschau)

Das DHCP-Informationsmodell dient zur Beschreibung von Ereignissen, die von einem DHCP-Server gemeldet werden, und wird von Microsoft Sentinel verwendet, um quellenagnostische Analysen zu ermöglichen.

Weitere Informationen finden Sie unter Normalisierung und das erweiterte Sicherheitsinformationsmodell (ASIM).

Wichtig

Das DHCP-Normalisierungsschema befindet sich derzeit in der VORSCHAUPHASE. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen.

In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Schemaübersicht

Das ASIM-DHCP-Schema stellt DHCP-Serveraktivitäten dar, einschließlich der Bereitstellung von Anforderungen für DHCP-IP-Adressen, die von Clientsystemen geleast werden, und der Aktualisierung eines DNS-Servers mit den gewährten Leases.

Die wichtigsten Felder in einem DHCP-Ereignis sind SrcIpAddr und SrcHostname, die der DHCP-Server durch Gewähren der Lease bindet und die von den Feldern IpAddr bzw. Hostname als Alias verwendet werden. Das Feld SrcMacAddr ist ebenfalls wichtig, da es den verwendeten Clientcomputer darstellt, wenn eine IP-Adresse nicht geleast wird.

Ein DHCP-Server kann einen Client entweder aufgrund von Sicherheitsbedenken oder aufgrund einer Überlastung des Netzwerks ablehnen. Er kann einen Client auch unter Quarantäne stellen, indem er ihm eine IP-Adresse least, die ihn mit einem eingeschränkten Netzwerk verbindet. Die Felder EventResult, EventResultDetails und DvcAction enthalten Informationen zur Antwort und Aktion des DHCP-Servers.

Die Dauer einer Lease wird im Feld DhcpLeaseDuration gespeichert.

Schemadetails

ASIM ist auf das Projekt Open Source Security Events Metadata (OSSEM) ausgerichtet.

OSSEM verfügt über kein DHCP-Schema, das mit dem ASIM-DHCP-Schema vergleichbar ist.

Allgemeine ASIM-Felder

Wichtig

Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.

Allgemeine Felder mit bestimmten Richtlinien

In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für DHCP-Ereignisse enthalten:

Feld Klasse Typ Beschreibung
EventType Obligatorisch. Enumerated Gibt den vom Datensatz gemeldeten Vorgang an.

Mögliche Werte sind Assign, Renew, Release und DNS Update.

Beispiel: Assign
EventSchemaVersion Obligatorisch. String Die Version des hier dokumentierten Schemas lautet 0.1.
EventSchema Obligatorisch. String Der Name des hier dokumentierten Schemas ist DhcpEvent.
Dvc-Felder - - Gerätefelder für DHCP-Ereignisse verweisen auf das System, das das DHCP-Ereignis meldet.

Alle allgemeinen Felder

Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.

Klasse Fields
Obligatorisch. - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Empfohlen - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Optional - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

DHCP-spezifische Felder

Die nachfolgend aufgeführten Felder sind für DHCP-Ereignisse spezifisch, doch ähneln viele den Feldern in anderen Schemas und folgen derselben Benennungskonvention.

Feld Klasse Typ Hinweise
SrcIpAddr Obligatorisch. IP-Adresse Die IP-Adresse, die dem Client vom DHCP-Server zugewiesen wird.

Beispiel: 192.168.12.1
IpAddr Alias Alias für SrcIpAddr.
RequestedIpAddr Optional IP-Adresse Die vom DHCP-Client angeforderte IP-Adresse (sofern verfügbar).

Beispiel: 192.168.12.3
SrcHostname Obligatorisch. String Der Hostname des Geräts, das die DHCP-Lease anfordert. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld.

Beispiel: DESKTOP-1282V4D
Hostname Alias Alias für SrcHostname.
SrcDomain Empfohlen String Die Domäne des Quellgeräts.

Beispiel: Contoso
SrcDomainType Bedingt Enumerated Der Typ von SrcDomain, sofern bekannt. Mögliche Werte sind:
- Windows (Beispiel: contoso)
- FQDN (Beispiel: microsoft.com)

Erforderlich, wenn SrcDomain verwendet wird.
SrcFQDN Optional String Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne.

Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider.

Beispiel: Contoso\DESKTOP-1282V4D
SrcDvcId Optional String Die ID des Quellgeräts, wie im Datensatz angegeben.

Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Optional String Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcDvcScope Optional String Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
SrcDvcIdType Bedingt Enumerated Der Typ von SrcDvcId, sofern bekannt. Mögliche Werte sind:
- AzureResourceId
- MDEid

Wenn mehrere IDs verfügbar sind, verwenden Sie die erste aus der obigen Liste, und speichern Sie die anderen in den Feldern SrcDvcAzureResourceId bzw. SrcDvcMDEid.

Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird.
SrcDeviceType Optional Enumerated Der Typ des Quellgeräts. Mögliche Werte sind:
- Computer
- Mobile Device
- IOT Device
- Other
SrcUserId Optional String Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Quellbenutzers. Format und unterstützte Typen:
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId: 00urjk4znu3BcncfY0h7
- AWSId: 72643944673

Speichern Sie den ID-Typ im Feld SrcUserIdType. Wenn andere IDs verfügbar sind, wird empfohlen, die Feldnamen in „SrcUserSid“, „SrcUserUid“, „SrcUserAadId“, „SrcUserOktaId“ bzw. „UserAwsId“ zu normalisieren.

Beispiel: S-1-12
SrcUserIdType Bedingt Enumerated Der Typ der ID, die im Feld SrcUserId gespeichert ist. Unterstützte Werte: SID, UIS, AADID, OktaId und AWSId.
SrcUsername Optional String Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar. Verwenden Sie eines der folgenden Formate in der folgenden Reihenfolge nach Priorität:
- UPN/E-Mail: johndow@contoso.com
- Windows:Contoso\johndow
- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- Einfach: johndow. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind.

Speichern Sie den Benutzernamenstyp im Feld SrcUsernameType. Wenn andere IDs verfügbar sind, empfiehlt es sich, die Feldnamen in SrcUserUpn, SrcUserWindows und SrcUserDn zu normalisieren.

Weitere Informationen finden Sie unter Benutzerentität.

Beispiel: AlbertE
Benutzer Alias Alias für SrcUsername.
SrcUsernameType Bedingt Enumerated Gibt den Typ des Benutzernamens an, der im Feld SrcUsername gespeichert ist. Unterstützte Werte: UPN, Windows, DN und Simple. Weitere Informationen finden Sie unter Benutzerentität.

Beispiel: Windows
SrcUserType Optional Enumerated Der Typ des Akteurs. Zulässige Werte sind:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

Hinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld EventOriginalUserType.
SrcOriginalUserType Der ursprüngliche Quellbenutzertyp, sofern von der Quelle bereitgestellt.
SrcMacAddr Obligatorisch. MAC-Adresse Die MAC-Adresse des Clients, der eine DHCP-Lease anfordert.

Hinweis: Der Windows DHCP-Server protokolliert die MAC-Adresse auf nicht standardmäßige Weise, wobei die Doppelpunkte ausgelassen werden, die vom Parser eingefügt werden sollten.

Beispiel: 06:10:9f:eb:8f:14
DhcpLeaseDuration Optional Integer Die Länge der einem Client gewährten Lease in Sekunden.
DhcpSessionId Optional Zeichenfolge Der Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. Für den Windows DHCP-Server legen Sie diesen auf das Feld „TransactionID“ fest.

Beispiel: 2099570186
SessionId Alias String Alias für DhcpSessionId
DhcpSessionDuration Optional Integer Die Zeitspanne in Millisekunden für den Abschluss der DHCP-Sitzung.

Beispiel: 1500
Duration Alias Alias für DhcpSessionDuration.
DhcpSrcDHCId  Optional String Die DHCP-Client-ID gemäß RFC4701.
DhcpCircuitId  Optional String Die DHCP-Leitungs-ID gemäß RFC3046.
DhcpSubscriberId  Optional String Die DHCP-Abonnenten-ID gemäß RFC3993.
DhcpVendorClassId   Optional String Die DHCP-Herstellerklassen-ID gemäß RFC3925.
DhcpVendorClass   Optional String Die DHCP-Herstellerklasse gemäß RFC3925.
DhcpUserClassId   Optional String Die DHCP-Benutzerklassen-ID gemäß RFC3004.
DhcpUserClass  Optional String Die DHCP-Benutzerklasse gemäß RFC3004.

Nächste Schritte

Weitere Informationen finden Sie unter