分享方式:

進階安全性資訊模型 (ASIM) DHCP 正規化架構參考 (公開預覽)

  • 文章

DHCP 資訊模型可用來描述 DHCP 伺服器所報告的事件,並且由 Microsoft Sentinel 使用,以啟用與來源無關的分析。

如需詳細資訊,請參閱正規化和進階安全性資訊模型(ASIM)。

重要

DHCP 正規化架構目前處於預覽狀態。 此功能在沒有服務等級協議的情況下提供,不建議用於生產工作負載。

Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

結構描述概觀

ASIM DHCP 架構代表 DHCP 伺服器活動,包括提供從客戶端系統租用的 DHCP IP 位址要求,以及更新已授與租用的 DNS 伺服器。

DHCP 事件中最重要的欄位是 SrcIpAddrSrcHostname,DHCP 伺服器會藉由授與租用來系結,並由 IpAddrHostname 字段分別作為別名。 SrcMacAddr 字段也很重要,因為它代表IP位址未租用時所使用的用戶端電腦。

DHCP 伺服器可能會因為安全性考慮或網路飽和而拒絕用戶端。 它也可以藉由租用用戶端,將它連線到有限網路的IP位址來隔離用戶端。 EventResult、EventResultDetailsDvcAction 欄位提供 DHCP 伺服器回應和動作的相關信息。

租用的持續時間會儲存在 DhcpLeaseDuration 字段中。

架構詳細數據

ASIM 與 開放原始碼安全性事件元數據 (OSSEM) 專案一致。

OSSEM 沒有與 ASIM DHCP 架構類似的 DHCP 架構。

一般 ASIM 欄位

重要

ASIM 通用欄位一文會詳細說明 所有架構的通用欄位

具有特定指導方針的一般欄位

下列清單提及具有 DHCP 事件特定指導方針的欄位:

欄位 類別 型別 說明
EventType 必要 枚舉 指出記錄所報告的作業。

可能的值為AssignRenewReleaseDNS Update

範例: Assign
EventSchemaVersion 必要 String 這裡記載的架構版本為 0.1
EventSchema 必要 String 這裡記載的架構名稱為 DhcpEvent
Dvc 欄位 - - 針對 DHCP 事件,裝置欄位會參考報告 DHCP 事件的系統。

所有通用欄位

下表中顯示的欄位適用於所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的進一步詳細數據,請參閱 ASIM 通用欄位 一文。

類別 欄位
必要 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
建議需求 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
選擇性 - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

DHCP 特定欄位

下列欄位專屬於 DHCP 事件,但許多欄位與其他架構中的欄位類似,並遵循相同的命名慣例。

欄位 類別 類型 注意事項
SrcIpAddr 必要 IP 位址 DHCP 伺服器指派給用戶端的IP位址。

範例: 192.168.12.1
IpAddr Alias SrcIpAddr 的 別名
RequestedIpAddr 選擇性 IP 位址 當可用時,DHCP 用戶端所要求的IP位址。

範例: 192.168.12.3
SrcHostname 必要 String 要求 DHCP 租用之裝置的主機名。 如果沒有可用的裝置名稱,請將相關的IP位址儲存在此欄位中。

範例: DESKTOP-1282V4D
主機名稱 Alias SrcHostname 的 別名
SrcDomain 建議需求 String 來源裝置的網域。

範例: Contoso
SrcDomainType 條件 枚舉 如果已知,則為 SrcDomain 的類型。 可能的值包括:
- Windows (例如: contoso
- FQDN (例如: microsoft.com

如果使用 SrcDomain ,則為必要項。
SrcFQDN 選擇性 String 來源裝置主機名,包括可用時的網域資訊。

注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 SrcDomainType 字段會反映所使用的格式。

範例: Contoso\DESKTOP-1282V4D
SrcDvcId 選擇性 String 記錄中所報告的來源裝置標識碼。

例如:ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId 選擇性 String 裝置所屬的雲端平臺範圍標識碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。
SrcDvcScope 選擇性 String 裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。
SrcDvcIdType 條件 枚舉 如果已知,則為 SrcDvcId 的類型。 可能的值包括:
- AzureResourceId
- MDEid

如果有多個標識碼可用,請使用上述清單中的第一個標識符,並將其他標識符分別儲存在 SrcDvcAzureResourceIdSrcDvcMDEid 中。

注意:如果使用 SrcDvcId ,則需要此欄位。
SrcDeviceType 選擇性 枚舉 來源裝置的類型。 可能的值包括:
- Computer
- Mobile Device
- IOT Device
- Other
SrcUserId 選擇性 String 計算機可讀取、英數位元、來源使用者的唯一表示法。 格式和支援的類型包括:
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId00urjk4znu3BcncfY0h7
- AWSId72643944673

將標識元類型儲存在 [SrcUserIdType ] 字段中。 如果有其他標識碼可供使用,建議您分別將域名正規化為 SrcUserSid、SrcUserUid、SrcUserAadId、SrcUserOktaId 和 UserAwsId。

範例: S-1-12
SrcUserIdType 條件 枚舉 儲存在 SrcUserId 欄位中的識別碼類型。 支援的值包括:SID、、UISAADIDOktaId、 和 AWSId
SrcUsername 選擇性 String 來源用戶名稱,包括可用時的網域資訊。 使用下列其中一種格式,並以下列優先順序排序:
- Upn/Emailjohndow@contoso.com
- Windows: Contoso\johndow
- DNCN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- 簡單johndow。 只有在網域信息無法使用時,才使用 Simple 表單。

將 [使用者名稱類型] 儲存在 [SrcUsernameType ] 字段中。 如果有其他標識碼可用,建議您將域名正規化為 SrcUserUpnSrcUserWindowsSrcUserDn

如需詳細資訊,請參閱 用戶實體

範例: AlbertE
使用者 Alias SrcUsername 的 別名
SrcUsernameType 條件 枚舉 指定儲存在 SrcUsername 欄位中的使用者名稱 類型。 支援的值為: UPNWindowsDN、 和 Simple。 如需詳細資訊,請參閱 用戶實體

範例: Windows
SrcUserType 選擇性 枚舉 動作項目的類型。 允許的值如下:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

注意:來源記錄中可能會使用不同的詞彙來提供此值,而應該正規化為這些值。 將原始值儲存在 EventOriginalUserType 欄位中。
SrcOriginalUserType 來源所提供的原始來源用戶類型。
SrcMacAddr 必要 MAC位址 要求 DHCP 租用之用戶端的 MAC 位址。

注意:Windows DHCP 伺服器會以非標準方式記錄 MAC 位址,省略剖析器應該插入的冒號。

範例: 06:10:9f:eb:8f:14
DhcpLeaseDuration 選擇性 整數 授與給用戶端的租用長度,以秒為單位。
DhcpSessionId 選擇性 字串 報告裝置所報告的會話標識碼。 針對 Windows DHCP 伺服器,請將此設定為 [TransactionID] 字段。

範例: 2099570186
SessionId Alias String DhcpSessionId 的別名
DhcpSessionDuration 選擇性 整數 DHCP 工作階段完成的時間量,以毫秒為單位。

範例: 1500
期間 Alias DhcpSessionDuration 的別名
DhcpSrcDHCId  選擇性 String DHCP 用戶端識別碼,如RFC4701所 定義
DhcpCircuitId  選擇性 String DHCP 線路標識碼,如RFC3046所 定義
DhcpSubscriberId  選擇性 String DHCP 訂閱者標識碼,如RFC3993所 定義
DhcpVendorClassId   選擇性 String DHCP 廠商類別識別碼,如RFC3925定義。
DhcpVendorClass   選擇性 String DHCP 廠商類別,如RFC3925定義。
DhcpUserClassId   選擇性 String DHCP 使用者類別識別碼,如RFC3004定義。
DhcpUserClass  選擇性 String DHCP 使用者類別,如RFC3004定義。

下一步

如需詳細資訊,請參閱