Riferimento allo schema di normalizzazione DHCP advanced security information model (ASIM) (anteprima pubblica)
Il modello di informazioni DHCP viene usato per descrivere gli eventi segnalati da un server DHCP e viene usato da Microsoft Sentinel per abilitare l'analisi indipendente dall'origine.
Per altre informazioni, vedere Normalizzazione e Advanced Security Information Model (ASIM).
Importante
Lo schema di normalizzazione DHCP è attualmente in ANTEPRIMA. Questa funzionalità viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione.
Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Panoramica dello schema
Lo schema DHCP di ASIM rappresenta l'attività del server DHCP, inclusa la gestione delle richieste per l'indirizzo IP DHCP concesso dai sistemi client e l'aggiornamento di un server DNS con i lease concessi.
I campi più importanti in un evento DHCP sono SrcIpAddr e SrcHostname, che il server DHCP associa concedendo il lease e sono aliasati rispettivamente dai campi IpAddr e Hostname . Il campo SrcMacAddr è importante anche perché rappresenta il computer client usato quando un indirizzo IP non è in lease.
Un server DHCP può rifiutare un client, a causa di problemi di sicurezza o a causa della saturazione della rete. Può anche mettere in quarantena un client tramite leasing a esso un indirizzo IP che lo connetterebbe a una rete limitata. I campi EventResult, EventResultDetails e DvcAction forniscono informazioni sulla risposta e sull'azione del server DHCP.
La durata di un lease viene archiviata nel campo DhcpLeaseDuration .
Dettagli dello schema
ASIM è allineato al progetto OSSEM (Open Source Security Events Metadata).
OSSEM non dispone di uno schema DHCP paragonabile allo schema DHCP ASIM.
Campi comuni di ASIM
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni ASIM.
Campi comuni con linee guida specifiche
L'elenco seguente include campi con linee guida specifiche per gli eventi DHCP:
| Campo | Classe | Type | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerated | Indicare l'operazione segnalata dal record. I valori possibili sono Assign, Release Renewe DNS Update. Esempio: Assign |
| EventSchemaVersion | Obbligatorio | String | La versione dello schema documentata qui è 0.1. |
| EventSchema | Obbligatorio | String | Il nome dello schema documentato qui è DhcpEvent. |
| Campi Dvc | - | - | Per gli eventi DHCP, i campi del dispositivo fanno riferimento al sistema che segnala l'evento DHCP. |
Tutti i campi comuni
I campi visualizzati nella tabella seguente sono comuni a tutti gli schemi ASIM. Tutte le linee guida specificate in precedenza sostituiscono le linee guida generali per il campo. Ad esempio, un campo potrebbe essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altri dettagli su ogni campo, vedere l'articolo Campi comuni di ASIM.
| Classe | Campi |
|---|---|
| Obbligatorio | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliato | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campi aggiuntivi - DvcDescription - DvcScopeId - DvcScope |
Campi specifici di DHCP
I campi seguenti sono specifici degli eventi DHCP, ma molti sono simili ai campi in altri schemi e seguono la stessa convenzione di denominazione.
| Campo | Classe | Type | Note |
|---|---|---|---|
| SrcIpAddr | Obbligatorio | Indirizzo IP | Indirizzo IP assegnato al client dal server DHCP. Esempio: 192.168.12.1 |
| IpAddr | Alias | Alias per SrcIpAddr | |
| RequestedIpAddr | Facoltativo | Indirizzo IP | Indirizzo IP richiesto dal client DHCP, se disponibile. Esempio: 192.168.12.3 |
| SrcHostname | Obbligatorio | String | Nome host del dispositivo che richiede il lease DHCP. Se non è disponibile alcun nome di dispositivo, archiviare l'indirizzo IP pertinente in questo campo. Esempio: DESKTOP-1282V4D |
| Hostname (Nome host) | Alias | Alias per SrcHostname | |
| SrcDomain | Consigliato | String | Dominio del dispositivo di origine. Esempio: Contoso |
| SrcDomainType | Condizionale | Enumerated | Tipo di SrcDomain, se noto. I valori possibili includono: - Windows (ad esempio: contoso)- FQDN (ad esempio: microsoft.com)Obbligatorio se viene usato SrcDomain . |
| SrcFQDN | Facoltativo | String | Nome host del dispositivo di origine, incluse le informazioni sul dominio, se disponibili. Nota: questo campo supporta sia il formato FQDN tradizionale che il formato domain\hostname di Windows. Il campo SrcDomainType riflette il formato utilizzato. Esempio: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Facoltativo | String | ID del dispositivo di origine come indicato nel record. Ad esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facoltativo | String | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcScope | Facoltativo | String | L'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcIdType | Condizionale | Enumerated | Tipo di SrcDvcId, se noto. I valori possibili includono: - AzureResourceId- MDEidSe sono disponibili più ID, usare il primo nell'elenco precedente e archiviare gli altri rispettivamente in SrcDvcAzureResourceId e SrcDvcMDEid. Nota: questo campo è obbligatorio se viene usato SrcDvcId . |
| SrcDeviceType | Facoltativo | Enumerated | Tipo del dispositivo di origine. I valori possibili includono: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Facoltativo | String | Rappresentazione univoca dell'utente di origine leggibile, alfanumerica e leggibile dal computer. Il formato e i tipi supportati includono: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Archiviare il tipo di ID nel campo SrcUserIdType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi rispettivamente in SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId e UserAwsId. Esempio: S-1-12 |
| SrcUserIdType | Condizionale | Enumerated | Tipo dell'ID archiviato nel campo SrcUserId . I valori supportati includono: SID, UISAADID, OktaId, e AWSId. |
| SrcUsername | Facoltativo | String | Nome utente di origine, incluse le informazioni sul dominio, se disponibili. Usare uno dei formati seguenti e nell'ordine di priorità seguente: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Semplice: johndow. Utilizzare il modulo Simple solo se le informazioni sul dominio non sono disponibili.Archiviare il tipo Nome utente nel campo SrcUsernameType . Se sono disponibili altri ID, è consigliabile normalizzare i nomi dei campi in SrcUserUpn, SrcUserWindows e SrcUserDn. Per altre informazioni, vedere L'entità User. Esempio: AlbertE |
| Utente | Alias | Alias per SrcUsername | |
| SrcUsernameType | Condizionale | Enumerated | Specifica il tipo di nome utente archiviato nel campo SrcUsername . I valori supportati sono: UPN, Windows, DNe Simple. Per altre informazioni, vedere L'entità User.Esempio: Windows |
| SrcUserType | Facoltativo | Enumerated | Tipo di Actor. I valori consentiti sono i seguenti: - Regular- Machine- Admin- System- Application- Service Principal- OtherNota: il valore può essere fornito nel record di origine usando termini diversi, che devono essere normalizzati in questi valori. Archiviare il valore originale nel campo EventOriginalUserType . |
| SrcOriginalUserType | Tipo di utente di origine originale, se fornito dall'origine. | ||
| SrcMacAddr | Obbligatorio | Indirizzo Mac | Indirizzo MAC del client che richiede un lease DHCP. Nota: il server DHCP di Windows registra l'indirizzo MAC in modo non standard, omettendo i due punti, che devono essere inseriti dal parser. Esempio: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | Facoltativo | Intero | Durata del lease concesso a un client, in secondi. |
| DhcpSessionId | Facoltativo | string | Identificatore di sessione segnalato dal dispositivo di report. Per il server DHCP Di Windows, impostarlo sul campo TransactionID. Esempio: 2099570186 |
| SessionId | Alias | String | Alias a DhcpSessionId |
| DhcpSessionDuration | Facoltativo | Intero | Quantità di tempo, espressa in millisecondi, per il completamento della sessione DHCP. Esempio: 1500 |
| Durata | Alias | Alias a DhcpSessionDuration | |
| DhcpSrcDHCId | Facoltativo | String | ID client DHCP, come definito da RFC4701 |
| DhcpCircuitId | Facoltativo | String | ID circuito DHCP, come definito da RFC3046 |
| DhcpSubscriberId | Facoltativo | String | ID sottoscrittore DHCP, come definito da RFC3993 |
| DhcpVendorClassId | Facoltativo | String | ID classe fornitore DHCP, come definito da RFC3925. |
| DhcpVendorClass | Facoltativo | String | Classe fornitore DHCP, come definito da RFC3925. |
| DhcpUserClassId | Facoltativo | String | ID classe utente DHCP, come definito da RFC3004. |
| DhcpUserClass | Facoltativo | String | Classe utente DHCP, come definito da RFC3004. |
Passaggi successivi
Per altre informazioni, vedi: