Referencia del esquema de normalización DHCP del Modelo de información de seguridad avanzada (ASIM): versión preliminar pública
El modelo de información de DHCP se utiliza para describir los eventos notificados por un servidor DHCP, y Microsoft Sentinel lo usa para habilitar el análisis independiente del origen.
Para obtener más información, consulte Normalización y Modelo avanzado de información de seguridad (SIEM).
Importante
El esquema de normalización de DHCP está actualmente en VERSIÓN PRELIMINAR. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.
En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Información general del esquema
El esquema DHCP de ASIM representa la actividad del servidor DHCP, lo que incluye atender solicitudes de direcciones IP de DHCP concedidas desde sistemas cliente y actualizar un servidor DNS con las concesiones otorgadas.
Los campos más importantes de un evento DHCP son SrcIpAddr y SrcHostname, con los que el servidor DHCP enlaza al otorgarles la concesión y tienen asignados un alias mediante los campos IpAddr y Hostname respectivamente. El campo SrcMacAddr también es importante, ya que representa la máquina cliente que se utiliza cuando no se concede una dirección IP.
Un servidor DHCP puede rechazar un cliente, ya sea debido a problemas de seguridad o por la saturación de la red. También puede poner en cuarentena un cliente mediante la concesión de una dirección IP que le conectaría a una red limitada. Los campos EventResult, EventResultDetails y DvcAction proporcionan información sobre la respuesta y la acción del servidor DHCP.
La duración de una concesión se almacena en el campo DhcpLeaseDuration.
Detalles del esquema
ASIM se alinea con el proyecto Open Source Security Events Metadata (OSSEM) [Metadatos de eventos de seguridad de código abierto (OSSEM)].
OSSEM no tiene un esquema DHCP comparable al esquema DHCP de ASIM.
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.
Campos comunes con directrices específicas
La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de DNS:
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| EventType | Mandatory | Enumerated | Indica la operación notificada por el registro. Los valores posibles son Assign, Renew, Release y DNS Update. Ejemplo: Assign |
| EventSchemaVersion | Mandatory | String | La versión del esquema que se documenta aquí es 0.1. |
| EventSchema | Mandatory | String | El nombre del esquema documentado aquí es DhcpEvent. |
| Campos dvc | - | - | Para los eventos DNS, los campos de dispositivo hacen referencia al sistema que informa del evento DNS. |
Todos los campos comunes
Los campos que aparecen en la tabla siguiente son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el siguiente artículo sobre los campos comunes de ASIM.
| Clase | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcionales | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos específicos de DHCP
Los campos enumerados a continuación son específicos de eventos de DHCP, pero muchos son similares a los campos de otros esquemas y siguen las mismas convenciones de nomenclatura.
| Campo | Clase | Tipo | Notas |
|---|---|---|---|
| SrcIpAddr | Mandatory | Dirección IP | Dirección IP asignada al cliente por el servidor DHCP. Ejemplo: 192.168.12.1 |
| IpAddr | Alias | Alias de SrcIpAddr | |
| RequestedIpAddr | Opcionales | Dirección IP | Dirección IP solicitada por el cliente DHCP, cuando esté disponible. Ejemplo: 192.168.12.3 |
| SrcHostname | Mandatory | String | Nombre de host del dispositivo que solicita la concesión DHCP. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP pertinente en este campo. Ejemplo: DESKTOP-1282V4D |
| Nombre de host | Alias | Alias de SrcHostname | |
| SrcDomain | Recomendado | String | Dominio del dispositivo de origen. Ejemplo: Contoso |
| SrcDomainType | Condicional | Enumerated | Tipo de SrcDomain, si se conoce. Los valores posibles son: - Windows (por ejemplo, contoso)- FQDN (por ejemplo, microsoft.com)Obligatorio si se usa el campo SrcDomain. |
| SrcFQDN | Opcional | String | Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcional | String | Identificador del dispositivo de origen tal y como se muestra en el registro. Por ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcionales | String | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcScope | Opcionales | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcIdType | Condicional | Enumerated | Tipo de SrcDvcId, si se conoce. Los valores posibles son: - AzureResourceId- MDEidSi hay varios identificadores disponibles, use el primero de la lista y almacene los demás en los campos SrcDvcAzureResourceId y SrcDvcMDEid, respectivamente. Nota: Este campo es necesario si se usa el campo SrcDvcId. |
| SrcDeviceType | Opcionales | Enumerated | Tipo del dispositivo de origen. Los valores posibles son: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Opcional | String | Representación única, alfanumérica y legible por una máquina del usuario de origen. El formato y los tipos admitidos son los siguientes: - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- - : 00urjk4znu3BcncfY0h7- - : 72643944673Almacene el tipo de identificador en el campo SrcUserIdType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo a SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId y UserAwsId, respectivamente. Ejemplo: S-1-12 |
| SrcUserIdType | Condicional | Enumerated | Tipo del identificador almacenado en el campo SrcUserId. Los valores admitidos incluyen SID, UIS, AADID, OktaId y AWSId. |
| SrcUsername | Opcional | String | Nombre de usuario de origen, incluida la información de dominio cuando esté disponible. Use uno de los siguientes formatos y en el orden siguiente de prioridad: - Upn/Email: johndow@contoso.com- - : Contoso\johndow- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- - : johndow. Use este formato sencillo solo si no hay disponible información de dominio.Almacene el tipo de nombre de usuario en el campo SrcUsernameType. Si hay otros identificadores disponibles, se recomienda normalizar los nombres de campo a SrcUserUpn, SrcUserWindows y SrcUserDn. Para más información, consulte la Entidad Usuario. Ejemplo: AlbertE |
| User | Alias | Alias de SrcUsername | |
| SrcUsernameType | Condicional | Enumerated | Especifica el tipo de nombre de usuario almacenado en el campo SrcUsername. Los valores admitidos son UPN, Windows, DN y Simple. Para más información, consulte la Entidad Usuario.Ejemplo: Windows |
| SrcUserType | Opcionales | Enumerated | Tipo de actor. Los valores permitidos son: - Regular- Machine- Admin- System- Application- Service Principal- OtherNota: El valor se puede proporcionar en el registro de origen usando términos diferentes, que se deben normalizar con estos valores. Almacene el valor original en el campo EventOriginalUserType. |
| SrcOriginalUserType | El tipo de usuario de origen original, si lo proporciona el origen. | ||
| SrcMacAddr | Mandatory | Dirección MAC | Dirección MAC del cliente que solicita una concesión DHCP. Nota: El servidor DHCP de Windows registra la dirección MAC de forma no estándar, omitiendo los dos puntos, que debe insertar el analizador. Ejemplo: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | Opcional | Entero | Longitud de la concesión otorgada a un cliente, en segundos. |
| DhcpSessionId | Opcional | string | Identificador de sesión notificado por el dispositivo de informes. Para el servidor DHCP de Windows, establezca esta opción en el campo TransactionID. Ejemplo: 2099570186 |
| SessionId | Alias | String | Alias para DhcpSessionId |
| DhcpSessionDuration | Opcional | Entero | Cantidad de tiempo, en milisegundos, para la finalización de la sesión de DHCP. Ejemplo: 1500 |
| Duration | Alias | Alias de DhcpSessionDuration | |
| DhcpSrcDHCId | Opcional | String | Identificador de cliente DHCP, tal como se define en RFC4701 |
| DhcpCircuitId | Opcional | String | Identificador de circuito DHCP, tal como se define en RFC3046 |
| DhcpSubscriberId | Opcional | String | Identificador del suscriptor DHCP, tal como se define en RFC3993 |
| DhcpVendorClassId | Opcional | String | Identificador de clase de proveedor DHCP, tal como se define en RFC3925 |
| DhcpVendorClass | Opcional | String | Clase de proveedor DHCP, tal como se define en RFC3925 |
| DhcpUserClassId | Opcional | String | Identificador de clase de usuario DHCP, tal como se define en RFC3004 |
| DhcpUserClass | Opcional | String | Clase de usuario DHCP, tal como se define en RFC3004 |
Pasos siguientes
Para más información, consulte:
- El seminario web de ASIM o las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)