De schemaverwijzing voor DHCP-normalisatieschema's van Advanced Security Information Model (ASIM) (openbare preview)
Het DHCP-informatiemodel wordt gebruikt om gebeurtenissen te beschrijven die zijn gerapporteerd door een DHCP-server en wordt gebruikt door Microsoft Sentinel om bronagnostische analyses in te schakelen.
Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie.
Belangrijk
Het DHCP-normalisatieschema bevindt zich momenteel in PREVIEW. Deze functie wordt geleverd zonder service level agreement en wordt niet aanbevolen voor productieworkloads.
De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Schemaoverzicht
Het ASIM DHCP-schema vertegenwoordigt dhcp-serveractiviteit, waaronder het verwerken van aanvragen voor DHCP-IP-adres dat is geleased van clientsystemen en het bijwerken van een DNS-server met de leases die zijn verleend.
De belangrijkste velden in een DHCP-gebeurtenis zijn SrcIpAddr en SrcHostname, die de DHCP-server verbindt door de lease te verlenen en worden respectievelijk gealiaseerd door de velden IpAddr en Hostnaam . Het veld SrcMacAddr is ook belangrijk omdat het de clientcomputer vertegenwoordigt die wordt gebruikt wanneer een IP-adres niet wordt geleased.
Een DHCP-server kan een client weigeren vanwege de beveiligingsproblemen of vanwege netwerkverzadiging. Het kan ook een client in quarantaine plaatsen door een IP-adres te leasen dat verbinding maakt met een beperkt netwerk. De velden EventResult, EventResultDetails en DvcAction bieden informatie over het antwoord en de actie van de DHCP-server.
De duur van een lease wordt opgeslagen in het veld DhcpLeaseDuration .
Schemadetails
ASIM is afgestemd op het osSEM-project (Open Source Security Events Metadata).
OSSEM heeft geen DHCP-schema dat vergelijkbaar is met het ASIM DHCP-schema.
Algemene ASIM-velden
Belangrijk
Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor DHCP-gebeurtenissen:
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| EventType | Verplicht | Enumerated | Geef de bewerking aan die door de record is gerapporteerd. Mogelijke waarden zijn Assign, Renewen ReleaseDNS Update. Voorbeeld: Assign |
| EventSchemaVersion | Verplicht | String | De versie van het schema dat hier wordt beschreven, is 0.1. |
| EventSchema | Verplicht | String | De naam van het schema dat hier wordt beschreven, is DhcpEvent. |
| Dvc-velden | - | - | Voor DHCP-gebeurtenissen verwijzen apparaatvelden naar het systeem dat de DHCP-gebeurtenis rapporteert. |
Alle algemene velden
Velden die in de onderstaande tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene ASIM-velden voor meer informatie over elk veld.
| Klasse | Velden |
|---|---|
| Verplicht | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Aanbevolen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
DHCP-specifieke velden
De onderstaande velden zijn specifiek voor DHCP-gebeurtenissen, maar veel zijn vergelijkbaar met velden in andere schema's en volgen dezelfde naamconventie.
| Veld | Klasse | Type | Notes |
|---|---|---|---|
| SrcIpAddr | Verplicht | IP-adres | Het IP-adres dat is toegewezen aan de client door de DHCP-server. Voorbeeld: 192.168.12.1 |
| Ipaddr | Alias | Alias voor SrcIpAddr | |
| RequestedIpAddr | Optioneel | IP-adres | Het IP-adres dat is aangevraagd door de DHCP-client, indien beschikbaar. Voorbeeld: 192.168.12.3 |
| SrcHostname | Verplicht | String | De hostnaam van het apparaat dat de DHCP-lease aanvraagt. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres op in dit veld. Voorbeeld: DESKTOP-1282V4D |
| Hostnaam | Alias | Alias voor SrcHostname | |
| SrcDomain | Aanbevolen | String | Het domein van het bronapparaat. Voorbeeld: Contoso |
| SrcDomainType | Voorwaardelijk | Enumerated | Het type SrcDomain, indien bekend. Mogelijke waarden zijn onder andere: - Windows (zoals: contoso)- FQDN (zoals: microsoft.com)Vereist als SrcDomain wordt gebruikt. |
| SrcFQDN | Optioneel | String | De hostnaam van het bronapparaat, inclusief domeingegevens, indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het veld SrcDomainType weerspiegelt de gebruikte indeling. Voorbeeld: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Optioneel | String | De id van het bronapparaat zoals gerapporteerd in de record. Bijvoorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optioneel | String | De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| SrcDvcScope | Optioneel | String | Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS. |
| SrcDvcIdType | Voorwaardelijk | Enumerated | Het type SrcDvcId, indien bekend. Mogelijke waarden zijn onder andere: - AzureResourceId- MDEidAls er meerdere id's beschikbaar zijn, gebruikt u de eerste id uit de bovenstaande lijst en slaat u de andere id's op in respectievelijk de SrcDvcAzureResourceId en SrcDvcMDEid. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt. |
| SrcDeviceType | Optioneel | Enumerated | Het type bronapparaat. Mogelijke waarden zijn onder andere: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Optioneel | String | Een machineleesbare, alfanumerieke, unieke weergave van de brongebruiker. Indeling en ondersteunde typen zijn onder andere: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Sla het id-type op in het veld SrcUserIdType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren naar respectievelijk SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId en UserAwsId. Voorbeeld: S-1-12 |
| SrcUserIdType | Voorwaardelijk | Enumerated | Het type id dat is opgeslagen in het veld SrcUserId . Ondersteunde waarden zijn: SID, UIS, AADID, en OktaIdAWSId. |
| SrcUsername | Optioneel | String | De brongebruikersnaam, inclusief domeingegevens, indien beschikbaar. Gebruik een van de volgende notaties en in de volgende volgorde van prioriteit: - Upn/e-mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Eenvoudig: johndow. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn.Sla het gebruikersnaamtype op in het veld SrcUsernameType . Als er andere id's beschikbaar zijn, raden we u aan om de veldnamen te normaliseren naar SrcUserUpn, SrcUserWindows en SrcUserDn. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
| Gebruiker | Alias | Alias voor SrcUsername | |
| SrcUsernameType | Voorwaardelijk | Enumerated | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld SrcUsername . Ondersteunde waarden zijn: UPN, Windows, DNen Simple. Zie De entiteit Gebruiker voor meer informatie.Voorbeeld: Windows |
| SrcUserType | Optioneel | Enumerated | Het type Actor. Toegestane waarden zijn: - Regular- Machine- Admin- System- Application- Service Principal- OtherOpmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. Sla de oorspronkelijke waarde op in het veld EventOriginalUserType . |
| SrcOriginalUserType | Het oorspronkelijke type brongebruiker, indien opgegeven door de bron. | ||
| SrcMacAddr | Verplicht | Mac-adres | Het MAC-adres van de client die een DHCP-lease aanvraagt. Opmerking: De Windows DHCP-server registreert MAC-adres op een niet-standaard manier, waarbij de dubbele punten worden weggelaten, die door de parser moeten worden ingevoegd. Voorbeeld: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | Optioneel | Geheel getal | De duur van de lease die aan een klant wordt verleend, in seconden. |
| DhcpSessionId | Optioneel | tekenreeks | De sessie-id zoals gerapporteerd door het rapportageapparaat. Voor de Windows DHCP-server stelt u dit in op het veld TransactionID. Voorbeeld: 2099570186 |
| Sessionid | Alias | String | Alias naar DhcpSessionId |
| DhcpSessionDuration | Optioneel | Geheel getal | De hoeveelheid tijd, in milliseconden, voor de voltooiing van de DHCP-sessie. Voorbeeld: 1500 |
| Duur | Alias | Alias naar DhcpSessionDuration | |
| DhcpSrcDHCId | Optioneel | String | De DHCP-client-id, zoals gedefinieerd door RFC4701 |
| DhcpCircuitId | Optioneel | String | De DHCP-circuit-id, zoals gedefinieerd door RFC3046 |
| DhcpSubscriberId | Optioneel | String | De DHCP-abonnee-id, zoals gedefinieerd door RFC3993 |
| DhcpVendorClassId | Optioneel | String | De klasse-id van DHCP-leverancier, zoals gedefinieerd door RFC3925. |
| DhcpVendorClass | Optioneel | String | De DHCP-leveranciersklasse, zoals gedefinieerd door RFC3925. |
| DhcpUserClassId | Optioneel | String | De DHCP-gebruikersklasse-id, zoals gedefinieerd door RFC3004. |
| DhcpUserClass | Optioneel | String | De DHCP-gebruikersklasse, zoals gedefinieerd door RFC3004. |
Volgende stappen
Zie voor meer informatie: