Gelişmiş Güvenlik Bilgileri Modeli (ASIM) DHCP normalleştirme şeması başvurusu (Genel önizleme)
DHCP bilgi modeli, bir DHCP sunucusu tarafından bildirilen olayları açıklamak için kullanılır ve Microsoft Sentinel tarafından kaynak-bağımsız analizi etkinleştirmek için kullanılır.
Daha fazla bilgi için bkz. Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).
Önemli
DHCP normalleştirme şeması şu anda ÖNİzLEME aşamasındadır. Bu özellik bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez.
Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Şemaya genel bakış
ASIM DHCP şeması, istemci sistemlerinden kiralanan DHCP IP adresi isteklerini sunma ve verilen kiralamalarla bir DNS sunucusunu güncelleştirme de dahil olmak üzere DHCP sunucusu etkinliğini temsil eder.
DHCP olayındaki en önemli alanlar, DHCP sunucusunun kirayı vererek bağladığı ve sırasıyla IpAddr ve Konak Adı alanları tarafından diğer ad verilen SrcIpAddr ve SrcHostname alanlarıdır. SrcMacAddr alanı, BIR IP adresi kiralanmadığında kullanılan istemci makinesini temsil ettiği için de önemlidir.
DHCP sunucusu, güvenlik nedeniyle veya ağ doygunluğu nedeniyle istemciyi reddedebilir. Ayrıca, istemciyi sınırlı bir ağa bağlayacak bir IP adresi kiralayarak da karantinaya alabilir. EventResult, EventResultDetails ve DvcAction alanları DHCP sunucusu yanıtı ve eylemi hakkında bilgi sağlar.
Kiralamanın süresi DhcpLeaseDuration alanında depolanır.
Şema ayrıntıları
ASIM, Açık Kaynak Güvenlik Olayları Meta Verileri (OSSEM) projesiyle hizalanır.
OSSEM,ASIM DHCP şemasıyla karşılaştırılabilir bir DHCP şemasına sahip değildir.
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip Ortak Alanlar
Aşağıdaki listede DHCP olayları için belirli yönergelere sahip alanlardan bahsediliyor:
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Eventtype | Zorunlu | Enumerated | Kayıt tarafından bildirilen işlemi belirtin. Olası değerler , Renewve ReleaseDNS UpdateşeklindedirAssign. Örnek: Assign |
| EventSchemaVersion | Zorunlu | String | Burada belgelenen şemanın sürümü 0.1'dir. |
| EventSchema | Zorunlu | String | Burada belgelenen şemanın adı DhcpEvent'tir. |
| Dvc alanları | - | - | DHCP olayları için, cihaz alanları DHCP olayını bildiren sisteme başvurur. |
Tüm ortak alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler, alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.
| Sınıfı | Alanlar |
|---|---|
| Zorunlu | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Önerilir | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - EkAlanlar - DvcDescription - DvcScopeId - DvcScope |
DHCP'ye özgü alanlar
Aşağıdaki alanlar DHCP olaylarına özgü olsa da, birçoğu diğer şemalardaki alanlara benzer ve aynı adlandırma kuralını izler.
| Alan | Sınıfı | Tür | Notlar |
|---|---|---|---|
| SrcIpAddr | Zorunlu | IP Adresi | DHCP sunucusu tarafından istemciye atanan IP adresi. Örnek: 192.168.12.1 |
| IpAddr | Diğer ad | SrcIpAddr için diğer ad | |
| RequestedIpAddr | İsteğe bağlı | IP Adresi | Kullanılabilir olduğunda DHCP istemcisi tarafından istenen IP adresi. Örnek: 192.168.12.3 |
| SrcHostname | Zorunlu | String | DHCP kiralamasını isteyen cihazın ana bilgisayar adı. Kullanılabilir cihaz adı yoksa ilgili IP adresini bu alanda depolayın. Örnek: DESKTOP-1282V4D |
| Ana Bilgisayar Adı | Diğer ad | SrcHostname için diğer ad | |
| SrcDomain | Önerilir | String | Kaynak cihazın etki alanı. Örnek: Contoso |
| SrcDomainType | Koşullu | Enumerated | Biliniyorsa SrcDomain türü. Olası değerler arasında şunlar bulunur: - Windows (örneğin: contoso)- FQDN (örneğin: microsoft.com)SrcDomain kullanılıyorsa gereklidir. |
| SrcFQDN | İsteğe bağlı | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. Not: Bu alan hem geleneksel FQDN biçimini hem de Windows etki alanı\konak adı biçimini destekler. SrcDomainType alanı kullanılan biçimi yansıtır. Örnek: Contoso\DESKTOP-1282V4D |
| SrcDvcId | İsteğe bağlı | String | Kayıtta bildirilen kaynak cihazın kimliği. Örneğin: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcScope | İsteğe bağlı | String | Cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope , Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcIdType | Koşullu | Enumerated | Biliniyorsa SrcDvcId türü. Olası değerler arasında şunlar bulunur: - AzureResourceId- MDEidBirden çok kimlik varsa, yukarıdaki listeden ilk kimlikleri kullanın ve diğerlerini sırasıyla SrcDvcAzureResourceId ve SrcDvcMDEid içinde depolayın. Not: SrcDvcId kullanılıyorsa bu alan gereklidir. |
| SrcDeviceType | İsteğe bağlı | Enumerated | Kaynak cihazın türü. Olası değerler arasında şunlar bulunur: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | İsteğe bağlı | String | Kaynak kullanıcının makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. Biçim ve desteklenen türler şunlardır: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra Id): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Kimlik türünü SrcUserIdType alanında depolayın. Başka kimlikler varsa, alan adlarını sırasıyla SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId ve UserAwsId olarak normalleştirmenizi öneririz. Örnek: S-1-12 |
| SrcUserIdType | Koşullu | Enumerated | SrcUserId alanında depolanan kimliğin türü. Desteklenen değerler şunlardır: SID, UIS, AADID, OktaIdve AWSId. |
| SrcUsername | İsteğe bağlı | String | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Kaynak kullanıcı adı. Aşağıdaki biçimlerden birini ve aşağıdaki öncelik sırasına göre kullanın: - Upn/E-posta: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Basit: johndow. Basit formu yalnızca etki alanı bilgileri kullanılamıyorsa kullanın.Kullanıcı adı türünü SrcUsernameType alanında depolayın. Başka kimlikler varsa, alan adlarını SrcUserUpn, SrcUserWindows ve SrcUserDn olarak normalleştirmenizi öneririz. Daha fazla bilgi için bkz . Kullanıcı varlığı. Örnek: AlbertE |
| Kullanıcı | Diğer ad | SrcUsername için diğer ad | |
| SrcUsernameType | Koşullu | Enumerated | SrcUsername alanında depolanan kullanıcı adının türünü belirtir. Desteklenen değerler şunlardır: UPN, Windows, DNve Simple. Daha fazla bilgi için bkz . Kullanıcı varlığı.Örnek: Windows |
| SrcUserType | İsteğe bağlı | Enumerated | Aktör türü. İzin verilen değerler şunlardır: - Regular- Machine- Admin- System- Application- Service Principal- OtherNot: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değeri EventOriginalUserType alanında depolayın. |
| SrcOriginalUserType | Kaynak tarafından sağlanmışsa özgün kaynak kullanıcı türü. | ||
| SrcMacAddr | Zorunlu | Mac Adresi | DHCP kiralaması isteyen istemcinin MAC adresi. Not: Windows DHCP sunucusu MAC adresini standart olmayan bir şekilde günlüğe kaydeder ve ayrıştırıcı tarafından eklenmesi gereken iki nokta üst üsteleri atlar. Örnek: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | İsteğe bağlı | Tamsayı | bir istemciye saniye cinsinden verilen kiranın uzunluğu. |
| DhcpSessionId | İsteğe bağlı | Dize | Raporlama cihazı tarafından bildirilen oturum tanımlayıcısı. Windows DHCP sunucusu için bunu TransactionID alanına ayarlayın. Örnek: 2099570186 |
| Sessionıd | Diğer ad | String | DhcpSessionId diğer adı |
| DhcpSessionDuration | İsteğe bağlı | Tamsayı | DHCP oturumunun tamamlanması için milisaniye cinsinden süre. Örnek: 1500 |
| Süre | Diğer ad | DhcpSessionDuration diğer adı | |
| DhcpSrcDHCId | İsteğe bağlı | String | RFC4701 tarafından tanımlanan DHCP istemci kimliği |
| DhcpCircuitId | İsteğe bağlı | String | RFC3046 tarafından tanımlanan DHCP bağlantı hattı kimliği |
| DhcpSubscriberId | İsteğe bağlı | String | RFC3993 tarafından tanımlanan DHCP abone kimliği |
| DhcpVendorClassId | İsteğe bağlı | String | RFC3925 tarafından tanımlanan DHCP Satıcı Sınıf Kimliği. |
| DhcpVendorClass | İsteğe bağlı | String | RFC3925 tarafından tanımlanan DHCP Satıcı Sınıfı. |
| DhcpUserClassId | İsteğe bağlı | String | RFC3004 tarafından tanımlanan DHCP Kullanıcı Sınıfı Kimliği. |
| DhcpUserClass | İsteğe bağlı | String | RFC3004 tarafından tanımlanan DHCP Kullanıcı Sınıfı. |
Sonraki adımlar
Daha fazla bilgi için bkz.
- ASIM Web seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği