Referência do esquema de normalização do DHCP do ASIM (Modelo de Informações de Segurança Avançado) (versão prévia)
O modelo de informações DHCP é usado para descrever eventos relatados por um servidor DHCP, e é usado pelo Microsoft Sentinel para habilitar a análise independente da origem.
Para obter mais informações, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Importante
O esquema de normalização DHCP está atualmente em VERSÃO PRÉVIA. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.
Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Visão geral do esquema
O esquema DHCP do ASIM representa a atividade do servidor DHCP, incluindo as solicitações de serviço para o endereço IP do DHCP concedido de sistemas cliente e a atualização de um servidor DNS com as concessões concedidas.
Os campos mais importantes em um evento DHCP são SrcIpAddr e SrcHostname, que o servidor DHCP vincula dando a concessão, e recebem alias pelos campos IpAddr e Hostname, respectivamente. O campo SrcMacAddr também é importante, pois representa o computador cliente usado quando um endereço IP não é concedido.
Um servidor DHCP pode rejeitar um cliente devido a questões de segurança ou devido à saturação da rede. Ele também pode colocar um cliente em quarentena concedendo-lhe um endereço IP que o conectaria a uma rede limitada. Os campos EventResult, EventResultDetails e DvcAction fornecem informações sobre a resposta e a ação do servidor DHCP.
A duração de uma concessão é armazenada no campo DhcpLeaseDuration.
Detalhes do esquema
O ASIM está alinhado com o projeto OSSEM (Metadados de Eventos de Segurança de Código Aberto).
Os OSSEM não têm um esquema DHCP comparável ao esquema DHCP do ASIM.
Campos comuns do ASIM
Importante
Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.
Campos comuns com diretrizes específicas
A lista a seguir menciona os campos que têm diretrizes específicas para eventos de DHCP:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerated | Indica a operação relatada pelo registro. Os valores possíveis são Assign, Renew, Release e DNS Update. Exemplo: Assign |
| EventSchemaVersion | Obrigatório | String | A versão do esquema documentado aqui é 0.1. |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é DhcpEvent. |
| Campos Dvc | - | - | Nos eventos DHCP, os campos de dispositivo referem-se ao sistema que relata o evento DHCP. |
Todos campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas do ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para saber mais sobre cada campo, confira o artigo Campos comuns do ASIM.
| Classe | Fields |
|---|---|
| Obrigatório | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendadas | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos específicos de DHCP
Os campos abaixo são específicos para eventos DHCP, mas muitos são semelhantes aos campos em outros esquemas e seguem a mesma convenção de nomenclatura.
| Campo | Classe | Tipo | Observações |
|---|---|---|---|
| SrcIpAddr | Obrigatório | Endereço IP | O endereço IP atribuído ao cliente pelo servidor DHCP. Exemplo: 192.168.12.1 |
| IpAddr | Alias | Alias para SrcIpAddr | |
| RequestedIpAddr | Opcional | Endereço IP | O endereço IP solicitado pelo cliente DHCP, quando disponível. Exemplo: 192.168.12.3 |
| SrcHostname | Obrigatório | String | O nome do host do dispositivo que está solicitando a concessão de DHCP. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo. Exemplo: DESKTOP-1282V4D |
| Nome do host | Alias | Alias para SrcHostname | |
| SrcDomain | Recomendadas | String | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | Enumerated | O tipo de SrcDomain, se conhecido. Os valores possíveis incluem: - Windows (como contoso)- FQDN (como microsoft.com)Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | Cadeia de caracteres | O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcional | Cadeia de caracteres | A ID do dispositivo de origem, conforme relatado no registro. Por exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| SrcDvcIdType | Condicional | Enumerated | O tipo de SrcDvcId, se conhecido. Os valores possíveis incluem: - AzureResourceId- MDEidSe várias IDs estão disponíveis, use a primeira da lista acima e armazene as outras em SrcDvcAzureResourceId e SrcDvcMDEid, respectivamente. Observação: esse campo será obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | Enumerated | O tipo do dispositivo de origem. Os valores possíveis incluem: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Opcional | Cadeia de caracteres | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de origem. Os formatos e tipos com suporte incluem: - - (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- - : 00urjk4znu3BcncfY0h7- - : 72643944673Armazene o tipo de ID no campo SrcUserIdType. Se outras IDs estiverem disponíveis, recomendaremos que você normalize os nomes de campo para SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId e UserAwsId, respectivamente. Exemplo: S-1-12 |
| SrcUserIdType | Condicional | Enumerated | O tipo da ID armazenada no campo SrcUserId. Os valores compatíveis incluem: SID, UIS, AADID, OktaId e AWSId. |
| SrcUsername | Opcional | String | O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. Use um dos seguintes formatos e na seguinte ordem de prioridade: - Upn/Email: johndow@contoso.com- - : Contoso\johndow- - : CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- - : johndow. Use o formulário Simples somente quando as informações de domínio não estiverem disponíveis.Armazene o tipo Username no campo SrcUsernameType. Se outras IDs estiverem disponíveis, recomendaremos que você normalize os nomes de campo para SrcUserUpn, SrcUserWindows e SrcUserDn. Para saber mais, confira A entidade de usuário. Exemplo: AlbertE |
| Usuário | Alias | Alias para SrcUsername | |
| SrcUsernameType | Condicional | Enumerated | Especifica o tipo do nome de usuário armazenado no campo SrcUsername. Os valores compatíveis são: UPN, Windows, DN e Simple. Para saber mais, confira A entidade de usuário.Exemplo: Windows |
| SrcUserType | Opcional | Enumerated | O tipo do Ator. Valores permitidos são: - Regular- Machine- Admin- System- Application- Service Principal- OtherObservação: O valor pode ser fornecido no registro de origem usando diferentes termos, que devem ser normalizados para esses valores. Armazene o valor original no campo EventOriginalUserType. |
| SrcOriginalUserType | O tipo de usuário de origem, se fornecido pela origem. | ||
| SrcMacAddr | Obrigatório | Endereço MAC | O endereço MAC do cliente que está solicitando uma concessão de DHCP. Observação: o servidor DHCP do Windows registra o endereço MAC em um modo não padrão, omitindo os dois-pontos, que devem ser inseridos pelo analisador. Exemplo: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | Opcional | Inteiro | O comprimento da concessão concedida a um cliente, em segundos. |
| DhcpSessionId | Opcional | string | O identificador de sessão, conforme relatado pelo dispositivo de relatório. Para o servidor DHCP do Windows, defina isso para o campo TransactionID. Exemplo: 2099570186 |
| SessionId | Alias | String | Alias para DhcpSessionId |
| DhcpSessionDuration | Opcional | Inteiro | O tempo, em milissegundos, até a conclusão da sessão de DHCP. Exemplo: 1500 |
| Duration | Alias | Alias para DhcpSessionDuration | |
| DhcpSrcDHCId | Opcional | Cadeia de caracteres | A ID do cliente DHCP, conforme definido por RFC4701 |
| DhcpCircuitId | Opcional | Cadeia de caracteres | A ID do circuito DHCP, conforme definido por RFC3046 |
| DhcpSubscriberId | Opcional | Cadeia de caracteres | A ID do assinante DHCP, conforme definido por RFC3993 |
| DhcpVendorClassId | Opcional | Cadeia de caracteres | A ID da Classe de Fornecedor de DHCP, conforme definido por RFC3925. |
| DhcpVendorClass | Opcional | Cadeia de caracteres | A Classe de Fornecedor de DHCP, conforme definido por RFC3925. |
| DhcpUserClassId | Opcional | Cadeia de caracteres | A ID da Classe de Usuário de DHCP, conforme definido por RFC3004. |
| DhcpUserClass | Opcional | Cadeia de caracteres | A Classe de Usuário de DHCP, conforme definido por RFC3004. |
Próximas etapas
Para obter mais informações, consulte:
- Assista ao Webinar do ASIM ou examine os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)