Compartir a través de


Referencia del esquema de normalización DHCP del Modelo de información de seguridad avanzada (ASIM): versión preliminar pública

El modelo de información de DHCP se utiliza para describir los eventos notificados por un servidor DHCP, y Microsoft Sentinel lo usa para habilitar el análisis independiente del origen.

Para obtener más información, consulte Normalización y Modelo avanzado de información de seguridad (SIEM).

Importante

El esquema de normalización de DHCP está actualmente en VERSIÓN PRELIMINAR. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.

En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Información general del esquema

El esquema DHCP de ASIM representa la actividad del servidor DHCP, lo que incluye atender solicitudes de direcciones IP de DHCP concedidas desde sistemas cliente y actualizar un servidor DNS con las concesiones otorgadas.

Los campos más importantes de un evento DHCP son SrcIpAddr y SrcHostname, con los que el servidor DHCP enlaza al otorgarles la concesión y tienen asignados un alias mediante los campos IpAddr y Hostname respectivamente. El campo SrcMacAddr también es importante, ya que representa la máquina cliente que se utiliza cuando no se concede una dirección IP.

Un servidor DHCP puede rechazar un cliente, ya sea debido a problemas de seguridad o por la saturación de la red. También puede poner en cuarentena un cliente mediante la concesión de una dirección IP que le conectaría a una red limitada. Los campos EventResult, EventResultDetails y DvcAction proporcionan información sobre la respuesta y la acción del servidor DHCP.

La duración de una concesión se almacena en el campo DhcpLeaseDuration.

Detalles del esquema

ASIM se alinea con el proyecto Open Source Security Events Metadata (OSSEM) [Metadatos de eventos de seguridad de código abierto (OSSEM)].

OSSEM no tiene un esquema DHCP comparable al esquema DHCP de ASIM.

Campos comunes de ASIM

Importante

Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.

Campos comunes con directrices específicas

La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de DNS:

Campo Clase Tipo Descripción
EventType Mandatory Enumerated Indica la operación notificada por el registro.

Los valores posibles son Assign, Renew, Release y DNS Update.

Ejemplo: Assign
EventSchemaVersion Mandatory String La versión del esquema que se documenta aquí es 0.1.
EventSchema Mandatory String El nombre del esquema documentado aquí es DhcpEvent.
Campos dvc - - Para los eventos DNS, los campos de dispositivo hacen referencia al sistema que informa del evento DNS.

Todos los campos comunes

Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.

Clase Fields
Mandatory - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recomendado - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcionales - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Campos específicos de DHCP

Los campos enumerados a continuación son específicos de eventos de DHCP, pero muchos son similares a los campos de otros esquemas y siguen las mismas convenciones de nomenclatura.

Campo Clase Tipo Notas
SrcIpAddr Mandatory Dirección IP Dirección IP asignada al cliente por el servidor DHCP.

Ejemplo: 192.168.12.1
IpAddr Alias Alias de SrcIpAddr
RequestedIpAddr Opcionales Dirección IP Dirección IP solicitada por el cliente DHCP, cuando esté disponible.

Ejemplo: 192.168.12.3
SrcHostname Mandatory String Nombre de host del dispositivo que solicita la concesión DHCP. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP pertinente en este campo.

Ejemplo: DESKTOP-1282V4D
Nombre de host Alias Alias de SrcHostname
SrcDomain Recomendado String Dominio del dispositivo de origen.

Ejemplo: Contoso
SrcDomainType Condicional Enumerated Tipo de SrcDomain, si se conoce. Los valores posibles son:
- Windows (por ejemplo, contoso)
- FQDN (por ejemplo, microsoft.com)

Obligatorio si se usa el campo SrcDomain.
SrcFQDN Opcional String Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible.

Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado.

Ejemplo: Contoso\DESKTOP-1282V4D
SrcDvcId Opcional String Identificador del dispositivo de origen tal y como se muestra en el registro.

Por ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcionales String Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcScope Opcionales String Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcIdType Condicional Enumerated Tipo de SrcDvcId, si se conoce. Los valores posibles son:
- AzureResourceId
- MDEid

Si hay varios identificadores disponibles, use el primero de la lista y almacene los demás en los campos SrcDvcAzureResourceId y SrcDvcMDEid, respectivamente.

Nota: Este campo es necesario si se usa el campo SrcDvcId.
SrcDeviceType Opcionales Enumerated Tipo del dispositivo de origen. Los valores posibles son:
- Computer
- Mobile Device
- IOT Device
- Other
SrcUserId Opcional String Representación única, alfanumérica y legible por una máquina del usuario de origen. El formato y los tipos admitidos son los siguientes:
- - (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- - (Linux): 4578
- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- - : 00urjk4znu3BcncfY0h7
- - : 72643944673

Almacene el tipo de identificador en el campo SrcUserIdType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo a SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId y UserAwsId, respectivamente.

Ejemplo: S-1-12
SrcUserIdType Condicional Enumerated Tipo del identificador almacenado en el campo SrcUserId. Los valores admitidos incluyen SID, UIS, AADID, OktaId y AWSId.
SrcUsername Opcional String Nombre de usuario de origen, incluida la información de dominio cuando esté disponible. Use uno de los siguientes formatos y en el orden siguiente de prioridad:
- Upn/Email: johndow@contoso.com
- - : Contoso\johndow
- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- - : johndow. Use este formato sencillo solo si no hay disponible información de dominio.

Almacene el tipo de nombre de usuario en el campo SrcUsernameType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo a SrcUserUpn, SrcUserWindows y SrcUserDn.

Para más información, consulte la Entidad Usuario.

Ejemplo: AlbertE
User Alias Alias de SrcUsername
SrcUsernameType Condicional Enumerated Especifica el tipo de nombre de usuario almacenado en el campo SrcUsername. Los valores admitidos son UPN, Windows, DN y Simple. Para más información, consulte la Entidad Usuario.

Ejemplo: Windows
SrcUserType Opcionales Enumerated Tipo de actor. Los valores permitidos son:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

Nota: El valor se puede proporcionar en el registro de origen usando términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo EventOriginalUserType.
SrcOriginalUserType El tipo de usuario de origen original, si lo proporciona el origen.
SrcMacAddr Mandatory Dirección MAC Dirección MAC del cliente que solicita una concesión DHCP.

Nota: El servidor DHCP de Windows registra la dirección MAC de forma no estándar, omitiendo los dos puntos, que debe insertar el analizador.

Ejemplo: 06:10:9f:eb:8f:14
DhcpLeaseDuration Opcional Entero Longitud de la concesión otorgada a un cliente, en segundos.
DhcpSessionId Opcional string Identificador de sesión notificado por el dispositivo de informes. Para el servidor DHCP de Windows, establezca esta opción en el campo TransactionID.

Ejemplo: 2099570186
SessionId Alias String Alias para DhcpSessionId
DhcpSessionDuration Opcional Entero Cantidad de tiempo, en milisegundos, para la finalización de la sesión de DHCP.

Ejemplo: 1500
Duration Alias Alias de DhcpSessionDuration
DhcpSrcDHCId  Opcional String Identificador de cliente DHCP, tal como se define en RFC4701
DhcpCircuitId  Opcional String Identificador de circuito DHCP, tal como se define en RFC3046
DhcpSubscriberId  Opcional String Identificador del suscriptor DHCP, tal como se define en RFC3993
DhcpVendorClassId   Opcional String Identificador de clase de proveedor DHCP, tal como se define en RFC3925
DhcpVendorClass   Opcional String Clase de proveedor DHCP, tal como se define en RFC3925
DhcpUserClassId   Opcional String Identificador de clase de usuario DHCP, tal como se define en RFC3004
DhcpUserClass  Opcional String Clase de usuario DHCP, tal como se define en RFC3004

Pasos siguientes

Para más información, consulte: