Az Advanced Security Information Model (ASIM) DHCP normalizálási sémareferenciája (nyilvános előzetes verzió)
A DHCP-információs modell a DHCP-kiszolgáló által jelentett események leírására szolgál, és a Microsoft Sentinel a forráselemzés engedélyezésére használja.
További információ: Normalization and the Advanced Security Information Model (ASIM).
Fontos
A DHCP normalizálási sémája jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott.
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Séma áttekintése
Az ASIM DHCP-séma a DHCP-kiszolgáló tevékenységeit jelöli, beleértve az ügyfélrendszerektől bérelt DHCP IP-cím kéréseinek kiszolgálását és a DNS-kiszolgáló frissítését a megadott bérletekkel.
A DHCP-események legfontosabb mezői a SrcIpAddr és az SrcHostname, amelyeket a DHCP-kiszolgáló a bérlet biztosításával köt, és az IpAddr és a Hostname mezők aliasosak. Az SrcMacAddr mező azért is fontos, mert azt az ügyfélszámítógépet jelöli, amelyet akkor használnak, amikor egy IP-címet nem ad bérbe.
A DHCP-kiszolgáló a biztonsági problémák vagy a hálózat telítettsége miatt elutasíthatja az ügyfelet. Emellett karanténba helyezhet egy ügyfelet úgy is, hogy olyan IP-címet ad hozzá, amely egy korlátozott hálózathoz csatlakoztatná. Az EventResult, az EventResultDetails és a DvcAction mezők információt nyújtanak a DHCP-kiszolgáló válaszáról és műveletéről.
A bérlet időtartama a DhcpLeaseDuration mezőben van tárolva.
Séma részletei
Az ASIM a nyílt forráskódú biztonsági események metaadatainak (OSSEM) projekttel van összhangban.
Az OSSEM nem rendelkezik az ASIM DHCP-sémához hasonló DHCP-sémával.
Gyakori ASIM-mezők
Fontos
Az összes sémában közös mezők részletes leírását az ASIM Common Fields című cikk ismerteti.
Általános mezők meghatározott irányelvekkel
Az alábbi lista a DHCP-eseményekre vonatkozó konkrét irányelvekkel rendelkező mezőket sorolja fel:
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| EventType | Kötelező | Enumerated | Adja meg a rekord által jelentett műveletet. A lehetséges értékek a következők Assign: és Release RenewDNS Update. Példa: Assign |
| EventSchemaVersion | Kötelező | Sztring | Az itt dokumentált séma verziója a 0.1. |
| EventSchema | Kötelező | Sztring | Az itt dokumentált séma neve DhcpEvent. |
| Dvc-mezők | - | - | DHCP-események esetén az eszközmezők a DHCP-eseményt jelentésző rendszerre vonatkoznak. |
Minden gyakori mező
Az alábbi táblázatban megjelenő mezők az összes ASIM-sémában gyakoriak. A fent megadott útmutatás felülbírálja a mező általános irányelveit. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további részletekért tekintse meg az ASIM Common Fields cikket.
| Osztály | Mezők |
|---|---|
| Kötelező | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Ajánlott | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Választható | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - További mezők - DvcDescription - DvcScopeId - DvcScope |
DHCP-specifikus mezők
Az alábbi mezők a DHCP-eseményekre vonatkoznak, de sokan hasonlítanak más sémák mezőihez, és ugyanazt az elnevezési konvenciót követik.
| Mező | Osztály | Típus | Jegyzetek |
|---|---|---|---|
| SrcIpAddr | Kötelező | IP Address | Az ügyfélhez a DHCP-kiszolgáló által hozzárendelt IP-cím. Példa: 192.168.12.1 |
| IpAddr | Alias | SrcIpAddr aliasa | |
| RequestedIpAddr | Választható | IP Address | A DHCP-ügyfél által kért IP-cím, ha elérhető. Példa: 192.168.12.3 |
| SrcHostname | Kötelező | Sztring | A DHCP-bérletet kérő eszköz állomásneve. Ha nem érhető el eszköznév, ebben a mezőben tárolja a megfelelő IP-címet. Példa: DESKTOP-1282V4D |
| Állomásnév | Alias | SrcHostname aliasa | |
| SrcDomain | Ajánlott | Sztring | A forráseszköz tartománya. Példa: Contoso |
| SrcDomainType | Feltételes | Enumerated | A SrcDomain típusa, ha ismert. Lehetséges értékek: - Windows (például: contoso)- FQDN (például: microsoft.com)A SrcDomain használata esetén kötelező megadni. |
| SrcFQDN | Választható | Sztring | A forráseszköz állomásneve, beleértve a tartományinformációkat, ha elérhető. Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. Az SrcDomainType mező a használt formátumot tükrözi. Példa: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Választható | Sztring | A forráseszköz azonosítója a rekordban jelentett módon. Például: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Választható | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. Az SrcDvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezetten. |
| SrcDvcScope | Választható | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. Az SrcDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| SrcDvcIdType | Feltételes | Enumerated | Az SrcDvcId típusa, ha ismert. Lehetséges értékek: - AzureResourceId- MDEidHa több azonosító is elérhető, használja a fenti lista első azonosítóját, és tárolja a többit az SrcDvcAzureResourceId és az SrcDvcMDEid fájlban. Megjegyzés: Ez a mező SrcDvcId használata esetén kötelező. |
| SrcDeviceType | Választható | Enumerated | A forráseszköz típusa. Lehetséges értékek: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Választható | Sztring | A forrásfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. A formátum és a támogatott típusok a következők: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Tárolja az azonosító típusát a SrcUserIdType mezőben. Ha más azonosítók is elérhetők, javasoljuk, hogy normalizálja a mezőneveket a következőre: SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId és UserAwsId. Példa: S-1-12 |
| SrcUserIdType | Feltételes | Enumerated | Az SrcUserId mezőben tárolt azonosító típusa. A támogatott értékek a következők: SID, UIS, AADID, OktaIdés AWSId. |
| SrcUsername | Választható | Sztring | A forrás felhasználóneve, beleértve a tartományinformációkat, ha elérhető. Használja az alábbi formátumok egyikét, és a következő prioritási sorrendben: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Egyszerű: johndow. Az Egyszerű űrlapot csak akkor használja, ha a tartományadatok nem érhetők el.Tárolja a Felhasználónév típust a SrcUsernameType mezőben. Ha más azonosítók is elérhetők, javasoljuk, hogy normalizálja a mezőneveket az SrcUserUpn, a SrcUserWindows és a SrcUserDn értékre. További információt a Felhasználó entitás című témakörben talál. Példa: AlbertE |
| Felhasználó | Alias | SrcUsername aliasa | |
| SrcUsernameType | Feltételes | Enumerated | A SrcUsername mezőben tárolt felhasználónév típusát adja meg. A támogatott értékek a következők: UPN, Windows, DNés Simple. További információt a Felhasználó entitás című témakörben talál.Példa: Windows |
| SrcUserType | Választható | Enumerated | Az Aktor típusa. Az engedélyezett értékek a következők: - Regular- Machine- Admin- System- Application- Service Principal- OtherMegjegyzés: Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti érték tárolása az EventOriginalUserType mezőben. |
| SrcOriginalUserType | Ha a forrás megadja, az eredeti forrásfelhasználó típusa. | ||
| SrcMacAddr | Kötelező | Mac-cím | A DHCP-bérletet kérő ügyfél MAC-címe. Megjegyzés: A Windows DHCP-kiszolgáló nem szabványos módon naplózza a MAC-címet, kihagyva a kettőspontokat, amelyeket az elemzőnek be kell szúrnia. Példa: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | Választható | Egész | Az ügyfélnek adott bérlet hossza másodpercben. |
| DhcpSessionId | Választható | húr | A jelentéskészítő eszköz által jelentett munkamenet-azonosító. A Windows DHCP-kiszolgáló esetében állítsa ezt a TransactionID mezőre. Példa: 2099570186 |
| Munkamenet-azonosító | Alias | Sztring | Alias a DhcpSessionId-hez |
| DhcpSessionDuration | Választható | Egész | A DHCP-munkamenet befejezéséhez szükséges idő ezredmásodpercben. Példa: 1500 |
| Időtartam | Alias | Alias a DhcpSessionDuration szolgáltatáshoz | |
| DhcpSrcDHCId | Választható | Sztring | Az RFC4701 által meghatározott DHCP-ügyfélazonosító |
| DhcpCircuitId | Választható | Sztring | A DHCP-kapcsolatcsoport azonosítója a RFC3046 |
| DhcpSubscriberId | Választható | Sztring | Az RFC3993 által meghatározott DHCP-előfizetői azonosító |
| DhcpVendorClassId | Választható | Sztring | Az RFC3925 által meghatározott DHCP-szállítói osztályazonosító. |
| DhcpVendorClass | Választható | Sztring | Az RFC3925 által meghatározott DHCP szállítói osztály. |
| DhcpUserClassId | Választható | Sztring | A RFC3004 által meghatározott DHCP felhasználói osztály azonosítója. |
| DhcpUserClass | Választható | Sztring | A RFC3004 által meghatározott DHCP felhasználói osztály. |
Következő lépések
További információk: