Advanced Security Information Model (ASIM) DHCP 正規化スキーマのリファレンス (パブリック プレビュー)
DHCP 情報モデルは、DHCP サーバーによって報告されるイベントを記述するために使用され、ソースに依存しない分析を有効にするために Microsoft Azure Sentinel によって使用されます。
詳細については、「正規化と Advanced Security Information Model (ASIM)」を参照してください。
重要
現在、DHCP 正規化スキーマはプレビュー段階です。 この機能は、サービス レベル アグリーメントなしで提供されており、運用環境のワークロード用には推奨されていません。
Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
スキーマの概要
ASIM DHCP スキーマは、DHCP サーバーの活動を表します。これには、クライアント システムからリースされた DHCP IP アドレスを求める要求の処理や、付与されたリースを使用した DNS サーバーの更新が含まれます。
DHCP イベントの最も重要なフィールドは、SrcIpAddr と SrcHostname です。これらは DHCP サーバーがリースを付与することによってバインドされ、それぞれ IpAddr と Hostname のフィールドが別名になっています。 SrcMacAddr フィールドは、IP アドレスがリースされていない場合に使用されるクライアント コンピューターを表すことからも重要です。
DHCP サーバーでクライアントが拒否される場合があります。それは、セキュリティ上の懸念があるため、またはネットワークが飽和状態になっているためです。 また、クライアントが検疫される場合もあります。その場合は、制限のあるネットワークに接続するための IP アドレスがリースされます。 EventResult、EventResultDetails、DvcAction の各フィールドには、DHCP サーバーの応答とアクションについての情報が提供されます。
リースの期間は、DhcpLeaseDuration フィールドに格納されます。
スキーマの詳細
ASIM は、オープン ソース セキュリティ イベント メタデータ (OSSEM) プロジェクトに合わせて調整されます。
OSSEM には、ASIM DHCP スキーマに相当する DHCP スキーマがありません。
一般的な ASIM フィールド
重要
すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
特定のガイドラインを持つ共通フィールド
次の一覧には、DHCP イベントに関する具体的なガイドラインが含まれたフィールドを示しています。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| EventType | Mandatory | Enumerated | レコードによって報告される操作を示します。 設定可能な値は、 Assign、Renew、Release、および DNS Update です。 例: Assign |
| EventSchemaVersion | Mandatory | String | ここに記載されているスキーマのバージョンは 0.1 です。 |
| EventSchema | Mandatory | String | ここに記載されているスキーマの名前は DhcpEvent です。 |
| Dvc フィールド | - | - | DHCP イベントの場合、デバイス フィールドは DHCP イベントを報告するシステムを指します。 |
すべての共通フィールド
下の表に示すフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
| クラス | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| オプション | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
DHCP 固有のフィールド
以下のフィールドは DHCP イベントに固有ですが、多くは他のスキーマのフィールドに類似しており、同じ名前付け規則に従います。
| フィールド | クラス | Type | ノート |
|---|---|---|---|
| SrcIpAddr | Mandatory | IP アドレス | DHCP サーバーによってクライアントに割り当てられた IP アドレス。 例: 192.168.12.1 |
| IpAddr | エイリアス | SrcIpAddr の別名 | |
| RequestedIpAddr | オプション | IP アドレス | DHCP クライアントによって要求された IP アドレス (使用可能な場合)。 例: 192.168.12.3 |
| SrcHostname | Mandatory | String | DHCP リースを要求しているデバイスのホスト名。 デバイス名を使用できない場合は、関連する IP アドレスをこのフィールドに格納します。 例: DESKTOP-1282V4D |
| hostname | エイリアス | SrcHostname の別名 | |
| SrcDomain | 推奨 | String | ソース デバイスのドメイン。 例: Contoso |
| SrcDomainType | 条件付き | Enumerated | SrcDomain の種類 (既知の場合)。 次の値を指定できます。 - Windows (例: contoso)- FQDN (例: microsoft.com)SrcDomain が使用されている場合は必須です。 |
| SrcFQDN | オプション | String | ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | オプション | String | レコードで報告されるソース デバイスの ID。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcScope | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcIdType | 条件付き | Enumerated | SrcDvcId の種類 (既知の場合)。 次の値を指定できます。 - AzureResourceId- MDEid複数の ID を使用できる場合は、上のリストの最初のものを使用し、他のものはそれぞれ SrcDvcAzureResourceId および SrcDvcMDEid に格納します。 注: SrcDvcId が使用されている場合、このフィールドは必須です。 |
| SrcDeviceType | オプション | Enumerated | ソース デバイスの種類。 次の値を指定できます。 - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | オプション | String | ソース ユーザーの、コンピューターが判読できる英数字の一意表現。 形式とサポートされる型は次のとおりです。 - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- - : 00urjk4znu3BcncfY0h7- - : 72643944673ID の種類は、SrcUserIdType フィールドに格納します。 他の ID を使用できる場合は、フィールド名を SrcUserSid、SrcUserUid、SrcUserAadId、SrcUserOktaId、UserAwsId にそれぞれ正規化することをお勧めします。 例: S-1-12 |
| SrcUserIdType | 条件付き | Enumerated | SrcUserId フィールドに格納されている ID の種類。 サポートされている値: SID、UIS、AADID、OktaId、AWSId。 |
| SrcUsername | オプション | String | 使用可能な場合はドメイン情報を含む、ソースのユーザー名。 以下のいずれかの形式と、以下の優先順位を使用します。 - - : johndow@contoso.com- - : Contoso\johndow- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- - : johndow。 Simple 形式は、ドメイン情報が利用できない場合にのみ使用します。ユーザー名の種類は、SrcUsernameType フィールドに格納します。 他の ID を使用できる場合は、フィールド名を SrcUserUpn、SrcUserWindows、SrcUserDn に正規化することをお勧めします。 詳細については、「ユーザー エンティティ」を参照してください。 例: AlbertE |
| User | エイリアス | SrcUsername の別名 | |
| SrcUsernameType | 条件付き | Enumerated | SrcUsername フィールドに格納されているユーザー名の種類を指定します。 サポートされている値: UPN、Windows、DN、Simple。 詳細については、「ユーザー エンティティ」を参照してください。例: Windows |
| SrcUserType | オプション | Enumerated | アクターの種類。 使用できる値は、以下のとおりです。 - Regular- Machine- Admin- System- Application- Service Principal- Other注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は EventOriginalUserType フィールドに格納します。 |
| SrcOriginalUserType | ソースによって提供されている場合、元のソース ユーザーの種類。 | ||
| SrcMacAddr | Mandatory | MAC アドレス | DHCP リースを要求しているクライアントの MAC アドレス。 注: Windows DHCP サーバーの場合、パーサーによって挿入される必要があるコロンを除いた、標準以外の方法で MAC アドレスがログに記録されます。 例: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | オプション | Integer | クライアントに付与されたリースの長さ (秒単位)。 |
| DhcpSessionId | 省略可能 | string | レポート デバイスによって報告されたセッション識別子。 Windows DHCP サーバーの場合は、これを TransactionID フィールドに設定します。 例: 2099570186 |
| SessionId | エイリアス | String | DhcpSessionId のエイリアス |
| DhcpSessionDuration | オプション | Integer | DHCP セッションの完了にかかる時間 (ミリ秒単位)。 例: 1500 |
| Duration | エイリアス | DhcpSessionDuration の別名 | |
| DhcpSrcDHCId | オプション | String | RFC4701 で定義されているとおりの DHCP クライアント ID |
| DhcpCircuitId | オプション | String | RFC3046 で定義されているとおりの DHCP 回線 ID |
| DhcpSubscriberId | オプション | String | RFC3993 で定義されているとおりの DHCP サブスクライバー ID |
| DhcpVendorClassId | オプション | String | RFC3925 で定義されているとおりの DHCP ベンダー クラス ID。 |
| DhcpVendorClass | オプション | String | RFC3925 で定義されているとおりの DHCP ベンダー クラス。 |
| DhcpUserClassId | オプション | String | RFC3004 で定義されているとおりの DHCP ユーザー クラス ID。 |
| DhcpUserClass | オプション | String | RFC3004 で定義されているとおりの DHCP ユーザー クラス。 |
次の手順
詳細については、次を参照してください。