Referenz zum Schema für die DHCP-Normalisierung des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) (öffentliche Vorschau)
Das DHCP-Informationsmodell dient zur Beschreibung von Ereignissen, die von einem DHCP-Server gemeldet werden, und wird von Microsoft Sentinel verwendet, um quellenagnostische Analysen zu ermöglichen.
Weitere Informationen finden Sie unter Normalisierung und das erweiterte Sicherheitsinformationsmodell (ASIM).
Wichtig
Das DHCP-Normalisierungsschema befindet sich derzeit in der VORSCHAUPHASE. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen.
In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Schemaübersicht
Das ASIM-DHCP-Schema stellt DHCP-Serveraktivitäten dar, einschließlich der Bereitstellung von Anforderungen für DHCP-IP-Adressen, die von Clientsystemen geleast werden, und der Aktualisierung eines DNS-Servers mit den gewährten Leases.
Die wichtigsten Felder in einem DHCP-Ereignis sind SrcIpAddr und SrcHostname, die der DHCP-Server durch Gewähren der Lease bindet und die von den Feldern IpAddr bzw. Hostname als Alias verwendet werden. Das Feld SrcMacAddr ist ebenfalls wichtig, da es den verwendeten Clientcomputer darstellt, wenn eine IP-Adresse nicht geleast wird.
Ein DHCP-Server kann einen Client entweder aufgrund von Sicherheitsbedenken oder aufgrund einer Überlastung des Netzwerks ablehnen. Er kann einen Client auch unter Quarantäne stellen, indem er ihm eine IP-Adresse least, die ihn mit einem eingeschränkten Netzwerk verbindet. Die Felder EventResult, EventResultDetails und DvcAction enthalten Informationen zur Antwort und Aktion des DHCP-Servers.
Die Dauer einer Lease wird im Feld DhcpLeaseDuration gespeichert.
Schemadetails
ASIM ist auf das Projekt Open Source Security Events Metadata (OSSEM) ausgerichtet.
OSSEM verfügt über kein DHCP-Schema, das mit dem ASIM-DHCP-Schema vergleichbar ist.
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für DHCP-Ereignisse enthalten:
| Feld | Klasse | Typ | Beschreibung |
|---|---|---|---|
| EventType | Obligatorisch. | Enumerated | Gibt den vom Datensatz gemeldeten Vorgang an. Mögliche Werte sind Assign, Renew, Release und DNS Update. Beispiel: Assign |
| EventSchemaVersion | Obligatorisch. | String | Die Version des hier dokumentierten Schemas lautet 0.1. |
| EventSchema | Obligatorisch. | String | Der Name des hier dokumentierten Schemas ist DhcpEvent. |
| Dvc-Felder | - | - | Gerätefelder für DHCP-Ereignisse verweisen auf das System, das das DHCP-Ereignis meldet. |
Alle allgemeinen Felder
Felder, die in der folgenden Tabelle angezeigt werden, sind für alle ASIM-Schemas gleich. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel Allgemeine ASIM-Felder.
| Klasse | Fields |
|---|---|
| Obligatorisch. | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
DHCP-spezifische Felder
Die nachfolgend aufgeführten Felder sind für DHCP-Ereignisse spezifisch, doch ähneln viele den Feldern in anderen Schemas und folgen derselben Benennungskonvention.
| Feld | Klasse | Typ | Hinweise |
|---|---|---|---|
| SrcIpAddr | Obligatorisch. | IP-Adresse | Die IP-Adresse, die dem Client vom DHCP-Server zugewiesen wird. Beispiel: 192.168.12.1 |
| IpAddr | Alias | Alias für SrcIpAddr. | |
| RequestedIpAddr | Optional | IP-Adresse | Die vom DHCP-Client angeforderte IP-Adresse (sofern verfügbar). Beispiel: 192.168.12.3 |
| SrcHostname | Obligatorisch. | String | Der Hostname des Geräts, das die DHCP-Lease anfordert. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
| Hostname | Alias | Alias für SrcHostname. | |
| SrcDomain | Empfohlen | String | Die Domäne des Quellgeräts. Beispiel: Contoso |
| SrcDomainType | Bedingt | Enumerated | Der Typ von SrcDomain, sofern bekannt. Mögliche Werte sind: - Windows (Beispiel: contoso)- FQDN (Beispiel: microsoft.com)Erforderlich, wenn SrcDomain verwendet wird. |
| SrcFQDN | Optional | String | Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider. Beispiel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Optional | String | Die ID des Quellgeräts, wie im Datensatz angegeben. Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optional | String | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcScope | Optional | String | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcIdType | Bedingt | Enumerated | Der Typ von SrcDvcId, sofern bekannt. Mögliche Werte sind: - AzureResourceId- MDEidWenn mehrere IDs verfügbar sind, verwenden Sie die erste aus der obigen Liste, und speichern Sie die anderen in den Feldern SrcDvcAzureResourceId bzw. SrcDvcMDEid. Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird. |
| SrcDeviceType | Optional | Enumerated | Der Typ des Quellgeräts. Mögliche Werte sind: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Optional | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Quellbenutzers. Format und unterstützte Typen: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Speichern Sie den ID-Typ im Feld SrcUserIdType. Wenn andere IDs verfügbar sind, wird empfohlen, die Feldnamen in „SrcUserSid“, „SrcUserUid“, „SrcUserAadId“, „SrcUserOktaId“ bzw. „UserAwsId“ zu normalisieren. Beispiel: S-1-12 |
| SrcUserIdType | Bedingt | Enumerated | Der Typ der ID, die im Feld SrcUserId gespeichert ist. Unterstützte Werte: SID, UIS, AADID, OktaId und AWSId. |
| SrcUsername | Optional | String | Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar. Verwenden Sie eines der folgenden Formate in der folgenden Reihenfolge nach Priorität: - UPN/E-Mail: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Einfach: johndow. Verwenden Sie dieses einfache Format nur, wenn keine Domäneninformationen verfügbar sind.Speichern Sie den Benutzernamenstyp im Feld SrcUsernameType. Wenn andere IDs verfügbar sind, empfiehlt es sich, die Feldnamen in SrcUserUpn, SrcUserWindows und SrcUserDn zu normalisieren. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: AlbertE |
| Benutzer | Alias | Alias für SrcUsername. | |
| SrcUsernameType | Bedingt | Enumerated | Gibt den Typ des Benutzernamens an, der im Feld SrcUsername gespeichert ist. Unterstützte Werte: UPN, Windows, DN und Simple. Weitere Informationen finden Sie unter Benutzerentität.Beispiel: Windows |
| SrcUserType | Optional | Enumerated | Der Typ des Akteurs. Zulässige Werte sind: - Regular- Machine- Admin- System- Application- Service Principal- OtherHinweis: Der Wert kann im Quelldatensatz mit anderen Begriffen angegeben werden, die auf diese Werte normalisiert werden sollten. Speichern Sie den ursprünglichen Wert im Feld EventOriginalUserType. |
| SrcOriginalUserType | Der ursprüngliche Quellbenutzertyp, sofern von der Quelle bereitgestellt. | ||
| SrcMacAddr | Obligatorisch. | MAC-Adresse | Die MAC-Adresse des Clients, der eine DHCP-Lease anfordert. Hinweis: Der Windows DHCP-Server protokolliert die MAC-Adresse auf nicht standardmäßige Weise, wobei die Doppelpunkte ausgelassen werden, die vom Parser eingefügt werden sollten. Beispiel: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | Optional | Integer | Die Länge der einem Client gewährten Lease in Sekunden. |
| DhcpSessionId | Optional | Zeichenfolge | Der Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. Für den Windows DHCP-Server legen Sie diesen auf das Feld „TransactionID“ fest. Beispiel: 2099570186 |
| SessionId | Alias | String | Alias für DhcpSessionId |
| DhcpSessionDuration | Optional | Integer | Die Zeitspanne in Millisekunden für den Abschluss der DHCP-Sitzung. Beispiel: 1500 |
| Duration | Alias | Alias für DhcpSessionDuration. | |
| DhcpSrcDHCId | Optional | String | Die DHCP-Client-ID gemäß RFC4701. |
| DhcpCircuitId | Optional | String | Die DHCP-Leitungs-ID gemäß RFC3046. |
| DhcpSubscriberId | Optional | String | Die DHCP-Abonnenten-ID gemäß RFC3993. |
| DhcpVendorClassId | Optional | String | Die DHCP-Herstellerklassen-ID gemäß RFC3925. |
| DhcpVendorClass | Optional | String | Die DHCP-Herstellerklasse gemäß RFC3925. |
| DhcpUserClassId | Optional | String | Die DHCP-Benutzerklassen-ID gemäß RFC3004. |
| DhcpUserClass | Optional | String | Die DHCP-Benutzerklasse gemäß RFC3004. |
Nächste Schritte
Weitere Informationen finden Sie unter
- Sehen Sie sich das ASIM-Webinar an, oder befassen Sie sich mit den Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)