Informations de référence sur le schéma de normalisation DHCP ASIM (Advanced Security Information Model) (préversion publique)
Le modèle CIM DHCP sert à décrire les événements signalés par un serveur DHCP. Microsoft Sentinel l’utilise pour permettre une analyse indépendante de la source.
Pour plus d’informations, consultez Normalisation et Advanced SIEM Information Model (ASIM).
Important
Le schéma de normalisation DHCP est actuellement en PRÉVERSION. Cette fonctionnalité est fournie sans contrat de niveau de service et n’est pas recommandée pour des charges de travail de production.
Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Vue d’ensemble du schéma
Le schéma DHCP ASIM représente l’activité du serveur DHCP, incluant le service des demandes pour l’adresse IP DHCP louée à des systèmes clients et la mise à jour d’un serveur DNS avec les baux accordés.
Les principaux champs dans un événement DHCP sont les champs SrcIpAddr et SrcHostname que le serveur DHCP lie en accordant le bail, qui ont respectivement pour alias les champs IpAddr et Hostname. Le champ SrcMacAddr est également important, car il représente l’ordinateur client utilisé quand une adresse IP n’est pas allouée.
Un serveur DHCP peut rejeter un client, soit en raison de problèmes de sécurité, soit en raison d’une saturation du réseau. Il peut également mettre en quarantaine un client en lui allouant une adresse IP qui le connecte à un réseau limité. Les champs EventResult, EventResultDetails et DvcAction fournissent des informations sur l’action et la réponse du serveur DHCP.
La durée d’un bail est stockée dans le champ DhcpLeaseDuration.
Détails du schéma
ASIM est aligné avec le projet de métadonnées des événements de sécurité open source (Open Source Security Events Metadata, OSSEM).
OSSEM n’a pas de schéma DHCP comparable au schéma DHCP ASIM.
Champs ASIM communs
Important
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM.
Champs communs avec des instructions spécifiques
La liste suivante mentionne uniquement les champs qui ont des instructions spécifiques pour des événements DHCP :
| Champ | Classe | Type | Description |
|---|---|---|---|
| EventType | Obligatoire | Énuméré | Indique l’opération signalée par l’enregistrement. Les valeurs possibles sont Assign, Renew, Release et DNS Update. Exemple : Assign |
| EventSchemaVersion | Obligatoire | Chaîne | La version du schéma documenté ici est la 0.1. |
| EventSchema | Obligatoire | Chaîne | Le nom du schéma documenté ici est DhcpEvent. |
| Champs Dvc | - | - | Pour les événements DHCP, les champs d’appareil font référence au système qui signale l’événement DHCP. |
Tous les champs communs
Les champs qui apparaissent dans le tableau ci-dessous sont communs à tous les schémas ASIM. Toute instruction spécifiée ci-dessus remplace les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, reportez-vous à l’article Champs communs ASIM.
| Classe | Fields |
|---|---|
| Obligatoire | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recommandé | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Champs spécifiques de DHCP
Les champs ci-dessous sont spécifiques des événements DHCP, mais sont similaires aux champs d’autres schémas et suivent la même conventions d’affectation de noms.
| Champ | Classe | Type | Remarques |
|---|---|---|---|
| SrcIpAddr | Obligatoire | Adresse IP | Adresse IP attribuée au client par le serveur DHCP. Exemple : 192.168.12.1 |
| IpAddr | Alias | Alias pour SrcIpAddr | |
| RequestedIpAddr | Facultatif | Adresse IP | Adresse IP demandée par le client DHCP, si disponible. Exemple : 192.168.12.3 |
| SrcHostname | Obligatoire | Chaîne | Nom d’hôte de l’appareil demandant le bail DHCP. Si aucun nom de périphérique n’est disponible, stockez l’adresse IP pertinente dans ce champ. Exemple : DESKTOP-1282V4D |
| Nom d’hôte | Alias | Alias pour SrcHostname | |
| SrcDomain | Recommandé | Chaîne | Domaine de l’appareil source. Exemple : Contoso |
| SrcDomainType | Logique conditionnelle | Énuméré | Type de SrcDomain, s’il est connu. Les valeurs possibles incluent : - Windows(par exemple :contoso)- FQDN(par exemple :microsoft.com)Obligatoire si SrcDomain est utilisé. |
| SrcFQDN | Facultatif | String | Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant. Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ SrcDomainType reflète le format utilisé. Exemple : Contoso\DESKTOP-1282V4D |
| SrcDvcId | Facultatif | Chaîne | ID de l’appareil source comme indiqué dans l’enregistrement. Par exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. SrcDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcSubscription correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcIdType | Logique conditionnelle | Énuméré | Type de SrcDvcId, s’il est connu. Les valeurs possibles incluent : - AzureResourceId- MDEidSi plusieurs ID sont disponibles, utilisez le premier de la liste ci-dessus, et stockez les autres à l’aide des noms de champ SrcDvcAzureResourceId et SrcDvcMDEid, respectivement. Remarque: ce champ est obligatoire si le champ SrcDvcld est utilisé. |
| SrcDeviceType | Facultatif | Énuméré | Type de l’appareil source. Les valeurs possibles incluent : - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Facultatif | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur source. Les formats et types pris en charge sont : - SID (Windows) : S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux) : 4578- AADID (Microsoft Entra ID) : 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId : 00urjk4znu3BcncfY0h7- AWSId : 72643944673Stockez le type ID dans le champ SrcUserIdType. Si d’autres ID sont disponibles, nous vous recommandons de normaliser les noms de champs respectivement en SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId et UserAwsId. Exemple : S-1-12 |
| SrcUserIdType | Logique conditionnelle | Énuméré | Type de l’ID stocké dans le champ SrcUserId. Les valeurs prises en charge incluent : SID, UIS, AADID, OktaId et AWSId. |
| SrcUsername | Facultatif | String | Nom de l’utilisateur source, y compris les informations de domaine, le cas échéant. Utilisez l'un des formats suivants et dans l'ordre de priorité suivant : - Upn/E-mail : johndow@contoso.com- Windows : Contoso\johndow- DN : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Simple : johndow. Utilisez le formulaire simple uniquement si les informations de domaine ne sont pas disponibles.Stockez le type Nom d’utilisateur dans le champ SrcUsernameType. Si d’autres ID sont disponibles, nous vous conseillons de normaliser les noms des champs pour SrcUserUpn, SrcUserWindows et SrcUserDn. Pour plus d’informations, consultez L’entité utilisateur. Exemple : AlbertE |
| Utilisateur | Alias | Alias pour SrcUsername. | |
| SrcUsernameType | Logique conditionnelle | Énuméré | Spécifie le type du nom d’utilisateur stocké dans le champ SrcUsername. Les valeurs prises en charge sont UPN, Windows, DN et Simple. Pour plus d’informations, consultez L’entité utilisateur.Exemple : Windows |
| SrcUserType | Facultatif | Énuméré | Type d’intervenant. Les valeurs autorisées sont les suivantes : - Regular- Machine- Admin- System- Application- Service Principal- OtherRemarque : La valeur peut être fournie dans l’enregistrement source avec des termes différents, qui doivent être normalisés avec ces valeurs. Stockez la valeur d’origine dans le champ EventOriginalUserType. |
| SrcOriginalUserType | Le type d'utilisateur source original, s'il est fourni par la source. | ||
| SrcMacAddr | Obligatoire | Adresse MAC | Adresse MAC du client demandant un bail DHCP. Remarque : le serveur DHCP Windows enregistre l’adresse MAC de manière non standard, en omettant les deux-points, qui doivent être insérés par l’analyseur. Exemple : 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | Facultatif | Integer | Durée du bail accordé à un client, exprimée en secondes. |
| DhcpSessionId | Facultatif | string | Identificateur de session signalé par le périphérique de création de rapport. Pour le serveur DHCP Windows, défini sur le champ TransactionID. Exemple : 2099570186 |
| SessionId | Alias | String | Alias pour DhcpkSessionId |
| DhcpSessionDuration | Facultatif | Integer | Durée, en millisecondes, de la session DHCP. Exemple : 1500 |
| Durée | Alias | Alias pour DhcpSessionDuration. | |
| DhcpSrcDHCId | Facultatif | String | ID client DHCP, tel que défini par RFC4701. |
| DhcpCircuitId | Facultatif | String | ID de circuit DHCP, tel que défini par RFC3046. |
| DhcpSubscriberId | Facultatif | String | ID d’abonné DHCP, tel que défini par RFC3993. |
| DhcpVendorClassId | Facultatif | String | ID de classe de fournisseur DHCP, tel que défini par RFC3925. |
| DhcpVendorClass | Facultatif | String | Classe de fournisseur DHCP, telle que définie par RFC3925. |
| DhcpUserClassId | Facultatif | String | ID de classe d’utilisateur DHCP, tel que défini par RFC3004. |
| DhcpUserClass | Facultatif | String | Classe d’utilisateur DHCP, telle que définie par RFC3004. |
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :