다음을 통해 공유

ASIM(고급 보안 정보 모델) DHCP 정규화 스키마 참조(공개 미리 보기)

  • 아티클

DHCP 정보 모델은 DHCP 서버에서 보고된 이벤트를 설명하는 데 사용되며 Microsoft Sentinel에서 원본에 구애받지 않는 분석을 사용하도록 설정하는 데 사용됩니다.

자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.

Important

DHCP 정규화 스키마는 현재 미리 보기 상태입니다. 이 기능은 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 권장되지 않습니다.

Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

스키마 개요

ASIM DHCP 스키마는 클라이언트 시스템에서 임대한 DHCP IP 주소에 대한 요청을 처리하고 임대가 부여된 DNS 서버 업데이트를 포함하여 DHCP 서버 작업을 나타냅니다.

DHCP 이벤트에서 가장 중요한 필드는 SrcIpAddrSrcHostname입니다. 이 필드는 DHCP 서버가 임대를 부여하여 바인딩하고 IpAddrHostname 필드에 의해 각각 별칭이 지정됩니다. SrcMacAddr 필드도 IP 주소가 임대되지 않을 때 사용되는 클라이언트 컴퓨터를 나타내므로 중요합니다.

DHCP 서버는 보안 문제나 네트워크 포화로 인해 클라이언트를 거부할 수 있습니다. 제한된 네트워크에 연결할 IP 주소를 임대하여 클라이언트를 격리할 수도 있습니다. EventResult, EventResultDetailsDvcAction 필드는 DHCP 서버 응답 및 작업에 대한 정보를 제공합니다.

임대 기간은 DhcpLeaseDuration 필드에 저장됩니다.

스키마 세부 정보

ASIM은 OSSEM(오픈 소스 보안 이벤트 메타데이터 프로젝트와 일치합니다.

OSSEM에는 ASIM DHCP 스키마와 유사한 DHCP 스키마가 없습니다.

일반적인 ASIM 필드

Important

모든 스키마에 공통적인 필드는 ASIM 공통 필드 문서에 자세히 설명되어 있습니다.

특정 지침이 있는 공통 필드

다음 목록에는 DHCP 이벤트에 대한 특정 지침이 있는 필드가 나와 있습니다.

필드 클래스 Type 설명
EventType 필수 Enumerated 레코드에서 보고한 작업을 나타냅니다.

가능한 값은 Assign, Renew, ReleaseDNS Update입니다.

예: Assign
EventSchemaVersion 필수 문자열 여기에 설명된 스키마의 버전은 0.1입니다.
EventSchema 필수 문자열 여기에 설명된 스키마의 이름은 DhcpEvent입니다.
Dvc 필드 - - DHCP 이벤트의 경우 디바이스 필드는 DHCP 이벤트를 보고하는 시스템을 나타냅니다.

모든 공통 필드

아래 표에 나열된 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드가 일반적으로 선택 사항이지만 특정 스키마에서는 필수 사항일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.

클래스 필드
필수 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
권장 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
선택 사항 - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

DHCP 관련 필드

아래 필드는 DHCP 이벤트에만 해당하지만 많은 필드가 다른 스키마의 필드와 유사하고 동일한 명명 규칙을 따릅니다.

필드 클래스 Type 참고
SrcIpAddr 필수 IP 주소 DHCP 서버가 클라이언트에 할당한 IP 주소입니다.

예: 192.168.12.1
IpAddr 별칭 SrcIpAddr의 별칭
RequestedIpAddr 선택 사항 IP 주소 사용 가능한 경우 DHCP 클라이언트에서 요청한 IP 주소입니다.

예: 192.168.12.3
SrcHostname 필수 문자열 DHCP 임대를 요청하는 디바이스의 호스트 이름입니다. 사용 가능한 디바이스 이름이 없으면 이 필드에 관련 IP 주소를 저장합니다.

예: DESKTOP-1282V4D
Hostname 별칭 SrcHostname의 별칭
SrcDomain 권장 문자열 원본 디바이스의 도메인입니다.

예: Contoso
SrcDomainType 조건부 Enumerated 알려진 경우 SrcDomain의 형식입니다. 가능한 값은 다음을 포함합니다.
- Windows (예: contoso)
- FQDN (예: microsoft.com)

SrcDomain을 사용하는 경우 필수입니다.
SrcFQDN 선택 사항 문자열 사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다.

참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다.

예: Contoso\DESKTOP-1282V4D
SrcDvcId 선택 사항 문자열 레코드에 보고된 원본 디바이스의 ID입니다.

예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId 선택 사항 문자열 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. SrcDvcScopeId 는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다.
SrcDvcScope 선택 사항 문자열 디바이스가 속한 클라우드 플랫폼 범위입니다. SrcDvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다.
SrcDvcIdType 조건부 Enumerated 알려진 경우 SrcDvcId의 형식입니다. 가능한 값은 다음을 포함합니다.
- AzureResourceId
- MDEid

여러 ID를 사용할 수 있는 경우 위 목록에서 첫 번째 ID를 사용하고 나머지는 각각 SrcDvcAzureResourceIdSrcDvcMDEid에 저장합니다.

참고: 이 필드는 SrcDvcId가 사용되는 경우 필수입니다.
SrcDeviceType 선택 사항 Enumerated 원본 디바이스의 형식입니다. 가능한 값은 다음을 포함합니다.
- Computer
- Mobile Device
- IOT Device
- Other
SrcUserId 선택 사항 문자열 원본 사용자에 대한 컴퓨터 판독 가능한 영숫자 고유 표현입니다. 형식 및 지원되는 형식은 다음과 같습니다.
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId: 00urjk4znu3BcncfY0h7
- AWSId: 72643944673

SrcUserIdType 필드에 ID 형식을 저장합니다. 다른 ID를 사용할 수 있는 경우 필드 이름을 각각 SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId 및 UserAwsId로 정규화하는 것이 좋습니다.

예: S-1-12
SrcUserIdType 조건부 Enumerated SrcUserId 필드에 저장된 ID 형식입니다. 지원되는 값은 SID, UIS, AADID, OktaIdAWSId입니다.
SrcUsername 선택 사항 문자열 사용 가능한 경우 도메인 정보를 포함한 원본 사용자 이름입니다. 다음 형식 중 하나를 다음 우선 순위에 따라 사용합니다.
- Upn/Email: johndow@contoso.com
- Windows: Contoso\johndow
- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- 단순: johndow. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다.

SrcUsernameType 필드에 사용자 이름 형식을 저장합니다. 다른 ID를 사용할 수 있는 경우 필드 이름을 SrcUserUpn, SrcUserWindowsSrcUserDn으로 정규화하는 것이 좋습니다.

자세한 내용은 사용자 엔터티를 참조하세요.

예: AlbertE
사용자 별칭 SrcUsername의 별칭
SrcUsernameType 조건부 Enumerated SrcUsername 필드에 저장된 사용자 이름 형식을 지정합니다. 지원되는 값은 UPN, Windows, DNSimple입니다. 자세한 내용은 사용자 엔터티를 참조하세요.

예: Windows
SrcUserType 선택 사항 Enumerated 행위자의 형식입니다. 허용된 값은 다음과 같습니다.
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

참고: 이 값은 이러한 값으로 정규화되어야 하는 다른 용어를 사용하여 원본 레코드에 제공될 수 있습니다. EventOriginalUserType 필드에 원래 값을 저장합니다.
SrcOriginalUserType 원본에서 제공한 경우 원래 원본 사용자 유형입니다.
SrcMacAddr 필수 Mac 주소 DHCP 임대를 요청하는 클라이언트의 MAC 주소입니다.

참고: Windows DHCP 서버는 파서에서 삽입해야 하는 콜론을 생략하여 비표준 방식으로 MAC 주소를 기록합니다.

예: 06:10:9f:eb:8f:14
DhcpLeaseDuration 선택 사항 정수 클라이언트에 부여된 임대 기간(초)입니다.
DhcpSessionId 선택 사항 string 보고 디바이스에서 보고한 세션 식별자입니다. Windows DHCP 서버의 경우 이를 TransactionID 필드로 설정합니다.

예: 2099570186
SessionId 별칭 문자열 DhcpSessionId에 대한 별칭
DhcpSessionDuration 선택 사항 정수 DHCP 세션을 완료하는 데 걸리는 시간(밀리초)입니다.

예: 1500
기간 별칭 DhcpSessionDuration에 대한 별칭
DhcpSrcDHCId  선택 사항 문자열 RFC4701에 정의된 DHCP 클라이언트 ID입니다.
DhcpCircuitId  선택 사항 문자열 RFC3046에 정의된 DHCP 회로 ID입니다.
DhcpSubscriberId  선택 사항 문자열 RFC3993에 정의된 DHCP 구독자 ID입니다.
DhcpVendorClassId   선택 사항 문자열 RFC3925에 정의된 DHCP 공급업체 클래스 ID입니다.
DhcpVendorClass   선택 사항 문자열 RFC3925에 정의된 DHCP 공급업체 클래스입니다.
DhcpUserClassId   선택 사항 문자열 RFC3004에 정의된 DHCP 사용자 클래스 ID입니다.
DhcpUserClass  선택 사항 문자열 RFC3004에 정의된 DHCP 사용자 클래스입니다.

다음 단계

자세한 내용은 다음을 참조하세요.