Share via

Referência do esquema de normalização do DHCP do ASIM (Modelo de Informações de Segurança Avançado) (versão prévia)

  • Artigo

O modelo de informações DHCP é usado para descrever eventos relatados por um servidor DHCP, e é usado pelo Microsoft Sentinel para habilitar a análise independente da origem.

Para obter mais informações, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).

Importante

O esquema de normalização DHCP está atualmente em VERSÃO PRÉVIA. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.

Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Visão geral do esquema

O esquema DHCP do ASIM representa a atividade do servidor DHCP, incluindo as solicitações de serviço para o endereço IP do DHCP concedido de sistemas cliente e a atualização de um servidor DNS com as concessões concedidas.

Os campos mais importantes em um evento DHCP são SrcIpAddr e SrcHostname, que o servidor DHCP vincula dando a concessão, e recebem alias pelos campos IpAddr e Hostname, respectivamente. O campo SrcMacAddr também é importante, pois representa o computador cliente usado quando um endereço IP não é concedido.

Um servidor DHCP pode rejeitar um cliente devido a questões de segurança ou devido à saturação da rede. Ele também pode colocar um cliente em quarentena concedendo-lhe um endereço IP que o conectaria a uma rede limitada. Os campos EventResult, EventResultDetails e DvcAction fornecem informações sobre a resposta e a ação do servidor DHCP.

A duração de uma concessão é armazenada no campo DhcpLeaseDuration.

Detalhes do esquema

O ASIM está alinhado com o projeto OSSEM (Metadados de Eventos de Segurança de Código Aberto).

Os OSSEM não têm um esquema DHCP comparável ao esquema DHCP do ASIM.

Campos comuns do ASIM

Importante

Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.

Campos comuns com diretrizes específicas

A lista a seguir menciona os campos que têm diretrizes específicas para eventos de DHCP:

Campo Classe Tipo Descrição
EventType Obrigatório Enumerated Indica a operação relatada pelo registro.

Os valores possíveis são Assign, Renew, Release e DNS Update.

Exemplo: Assign
EventSchemaVersion Obrigatório String A versão do esquema documentado aqui é 0.1.
EventSchema Obrigatório String O nome do esquema documentado aqui é DhcpEvent.
Campos Dvc - - Nos eventos DHCP, os campos de dispositivo referem-se ao sistema que relata o evento DHCP.

Todos campos comuns

Os campos que aparecem na tabela abaixo são comuns a todos os esquemas do ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns do ASIM.

Classe Fields
Obrigatório - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Recomendadas - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Opcional - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Campos específicos de DHCP

Os campos abaixo são específicos para eventos DHCP, mas muitos são semelhantes aos campos em outros esquemas e seguem a mesma convenção de nomenclatura.

Campo Classe Tipo Observações
SrcIpAddr Obrigatório Endereço IP O endereço IP atribuído ao cliente pelo servidor DHCP.

Exemplo: 192.168.12.1
IpAddr Alias Alias para SrcIpAddr
RequestedIpAddr Opcional Endereço IP O endereço IP solicitado pelo cliente DHCP, quando disponível.

Exemplo: 192.168.12.3
SrcHostname Obrigatório String O nome do host do dispositivo que está solicitando a concessão de DHCP. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo.

Exemplo: DESKTOP-1282V4D
Nome do host Alias Alias para SrcHostname
SrcDomain Recomendadas String O domínio do dispositivo de origem.

Exemplo: Contoso
SrcDomainType Condicional Enumerated O tipo de SrcDomain, se conhecido. Os valores possíveis incluem:
- Windows (como contoso)
- FQDN (como microsoft.com)

Necessário se SrcDomain for usado.
SrcFQDN Opcional Cadeia de caracteres O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível.

Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado.

Exemplo: Contoso\DESKTOP-1282V4D
SrcDvcId Opcional Cadeia de caracteres A ID do dispositivo de origem, conforme relatado no registro.

Por exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Opcional String A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS.
SrcDvcScope Opcional String O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS.
SrcDvcIdType Condicional Enumerated O tipo de SrcDvcId, se conhecido. Os valores possíveis incluem:
- AzureResourceId
- MDEid

Se várias IDs estão disponíveis, use a primeira da lista acima e armazene as outras em SrcDvcAzureResourceId e SrcDvcMDEid, respectivamente.

Observação: esse campo será obrigatório se SrcDvcId for usado.
SrcDeviceType Opcional Enumerated O tipo do dispositivo de origem. Os valores possíveis incluem:
- Computer
- Mobile Device
- IOT Device
- Other
SrcUserId Opcional Cadeia de caracteres Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de origem. Os formatos e tipos com suporte incluem:
- - (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- - (Linux): 4578
- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- - : 00urjk4znu3BcncfY0h7
- - : 72643944673

Armazene o tipo de ID no campo SrcUserIdType. Se outras IDs estiverem disponíveis, recomendaremos que você normalize os nomes de campo para SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId e UserAwsId, respectivamente.

Exemplo: S-1-12
SrcUserIdType Condicional Enumerated O tipo da ID armazenada no campo SrcUserId. Os valores compatíveis incluem: SID, UIS, AADID, OktaId e AWSId.
SrcUsername Opcional String O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. Use um dos seguintes formatos e na seguinte ordem de prioridade:
- Upn/Email: johndow@contoso.com
- - : Contoso\johndow
- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- - : johndow. Use o formulário Simples somente quando as informações de domínio não estiverem disponíveis.

Armazene o tipo Username no campo SrcUsernameType. Se outras IDs estiverem disponíveis, recomendaremos que você normalize os nomes de campo para SrcUserUpn, SrcUserWindows e SrcUserDn.

Para saber mais, confira A entidade de usuário.

Exemplo: AlbertE
Usuário Alias Alias para SrcUsername
SrcUsernameType Condicional Enumerated Especifica o tipo do nome de usuário armazenado no campo SrcUsername. Os valores compatíveis são: UPN, Windows, DN e Simple. Para saber mais, confira A entidade de usuário.

Exemplo: Windows
SrcUserType Opcional Enumerated O tipo do Ator. Valores permitidos são:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

Observação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo EventOriginalUserType.
SrcOriginalUserType O tipo de usuário de origem, se fornecido pela origem.
SrcMacAddr Obrigatório Endereço MAC O endereço MAC do cliente que está solicitando uma concessão de DHCP.

Observação: o servidor DHCP do Windows registra o endereço MAC em um modo não padrão, omitindo os dois-pontos, que devem ser inseridos pelo analisador.

Exemplo: 06:10:9f:eb:8f:14
DhcpLeaseDuration Opcional Inteiro O comprimento da concessão concedida a um cliente, em segundos.
DhcpSessionId Opcional string O identificador de sessão, conforme relatado pelo dispositivo de relatório. Para o servidor DHCP do Windows, defina isso para o campo TransactionID.

Exemplo: 2099570186
SessionId Alias String Alias para DhcpSessionId
DhcpSessionDuration Opcional Inteiro O tempo, em milissegundos, até a conclusão da sessão de DHCP.

Exemplo: 1500
Duration Alias Alias para DhcpSessionDuration
DhcpSrcDHCId  Opcional Cadeia de caracteres A ID do cliente DHCP, conforme definido por RFC4701
DhcpCircuitId  Opcional Cadeia de caracteres A ID do circuito DHCP, conforme definido por RFC3046
DhcpSubscriberId  Opcional Cadeia de caracteres A ID do assinante DHCP, conforme definido por RFC3993
DhcpVendorClassId   Opcional Cadeia de caracteres A ID da Classe de Fornecedor de DHCP, conforme definido por RFC3925.
DhcpVendorClass   Opcional Cadeia de caracteres A Classe de Fornecedor de DHCP, conforme definido por RFC3925.
DhcpUserClassId   Opcional Cadeia de caracteres A ID da Classe de Usuário de DHCP, conforme definido por RFC3004.
DhcpUserClass  Opcional Cadeia de caracteres A Classe de Usuário de DHCP, conforme definido por RFC3004.

Próximas etapas

Para obter mais informações, consulte: