Справочник по схеме нормализации DHCP в расширенной информационной модели безопасности (ASIM) (общедоступная предварительная версия)

  • Статья

Информационная модель DHCP служит для описания событий, передаваемых DHCP-сервером, и используется в Microsoft Sentinel для реализации не зависящих от источника возможностей анализа.

Дополнительные сведения см. в статье Нормализация и информационная модель повышенной безопасности (ASIM).

Внимание

В настоящее время схема нормализации DHCP предоставляется в предварительной версии. Эта функция предоставляется без соглашения об уровне обслуживания, и ее не рекомендуется использовать в среде для производственных рабочих нагрузок.

Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Общее представление схемы

Схема DHCP ASIM представляет активность DHCP-сервера, включают обслуживание запросов для IP-адресов DHCP, арендуемых у клиентских систем, и обновление DNS-сервера с учетом IP-адресов, предоставленных в аренду.

Наиболее важными полями события DHCP являются SrcIpAddr и SrcHostname, которые сервер DHCP привязывает, предоставляя аренду и добавляя псевдонимы в поля IpAddr и HostName соответственно. Поле SrcMacAddr также имеет важное значение, так как оно представляет клиентский компьютер, используемый, когда IP-адрес не арендован.

DHCP-сервер может отклонить клиента из-за проблем с безопасностью или насыщенности сети. Он также может помещать клиент в карантин, арендовав ему IP-адреса, который будет подключаться к ограниченной сети. Поля EventResult, EventResultDetails и DvcAction содержат сведения об ответе и действии DHCP-сервера.

Длительность аренды хранится в поле DhcpLeaseDuration.

Сведения о схеме

ASIM соответствует проекту Open Source Security Events Metadata (OSSEM).

OSSEM не имеет схемы DHCP, сопоставимой со схемой DHCP ASIM.

Общие поля ASIM

Внимание

Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.

Общие поля с конкретными рекомендациями

В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий DHCP:

Поле Class Тип Description
EventType Обязательно Enumerated Указывает на операцию, о которой сообщает эта запись.

Возможные значения: Assign, Renew, Release и DNS Update.

Пример: Assign
EventSchemaVersion Обязательно Строка В настоящем документе представлена схема версии 0.1.
EventSchema Обязательно Строка Имя схемы, описанной здесь, — DhcpEvent.
Поля Dvc - - Для событий DHCP поля устройства ссылаются на систему, которая сообщает о событии DHCP.

Все общие поля

Поля, представленные в таблице ниже, являются общими для всех схем ASIM. Все указанные выше рекомендации переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье Общие поля ASIM.

Class Поля
Обязательно - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Рекомендуемая конфигурация - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Необязательно - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Специальные поля DHCP

Поля ниже применяются только для событий DHCP, но многие из них имеют сходство с полями других схем и используют те же соглашения об именовании.

Поле Class Тип Примечания
SrcIpAddr Обязательно IP-адрес IP-адрес, назначенный клиенту DHCP-сервером.

Пример: 192.168.12.1
IpAddr Псевдоним Псевдоним для SrcIpAddr
RequestedIpAddr Необязательно IP-адрес IP-адрес, запрошенный клиентом DHCP, если он доступен.

Пример: 192.168.12.3
SrcHostname Обязательно Строка Имя узла устройства, запрашивающего аренду DHCP. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес.

Пример: DESKTOP-1282V4D
Hostname Псевдоним Псевдоним для SrcHostname
SrcDomain Рекомендуемая конфигурация Строка Домен исходного устройства.

Пример: Contoso
SrcDomainType Условный Enumerated Тип SrcDomain, если он известен. Возможные значения включают:
- Windows (например, contoso)
- FQDN (например, microsoft.com)

Является обязательным при использовании SrcDomain.
SrcFQDN Необязательно Строка Имя узла исходного устройства, включая сведения о домене, если они доступны.

Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле SrcDomainType отражает используемый формат.

Пример: Contoso\DESKTOP-1282V4D
SrcDvcId Необязательно Строка Идентификатор исходного устройства, как указано в записи.

Например: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3
SrcDvcScopeId Необязательно Строка Идентификатор области облачной платформы, к которому принадлежит устройство. SrcDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS.
SrcDvcScope Необязательно Строка Область облачной платформы, к которой принадлежит устройство. SrcDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS.
SrcDvcIdType Условный Enumerated Тип SrcDvcId, если он известен. Возможные значения включают:
- AzureResourceId
- MDEid

Если доступно несколько идентификаторов, используйте первый из списка выше и сохраните остальные в полях SrcDvcAzureResourceId и SrcDvcMDEid соответственно.

Примечание. Это поле является обязательным, если используется SrcDvcId.
SrcDeviceType Необязательно Enumerated Тип исходного устройства. Возможные значения включают:
- Computer
- Mobile Device
- IOT Device
- Other
SrcUserId Необязательно Строка Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя. Форматы и поддерживаемые типы включают:
- SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500
- UID (Linux): 4578
- AADID (Идентификатор Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa
- OktaId: 00urjk4znu3BcncfY0h7
- AWSId: 72643944673

Храните тип идентификатора в поле SrcUserIdType. Если доступны другие идентификаторы, мы рекомендуем нормализовать названия полей до SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId и UserAwsId соответственно.

Пример: S-1-12
SrcUserIdType Условный Enumerated Тип идентификатора, который хранится в поле SrcUserId. Поддерживаются следующие значения: SID, UIS, AADID, OktaId и AWSId.
SrcUsername Необязательно Строка Имя пользователя Source, включая сведения о домене, если они доступны. Используйте один из следующих форматов и расположите их в следующем порядке приоритета:
- Имя участника-пользователя или адрес электронной почты: johndow@contoso.com
- Windows: Contoso\johndow
- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM
- Простая: johndow. Используйте форму "Простая", только если сведения о домене недоступны.

Храните тип имени пользователя в поле SrcUsernameType. Если доступны другие идентификаторы, рекомендуется нормализовать имена полей в SrcUserUpn, SrcUserWindows и SrcUserDn.

Подробнее см. в статье Сущность пользователя.

Пример: AlbertE
Пользователь Псевдоним Псевдоним для SrcUsername
SrcUsernameType Условный Enumerated Указывает тип имени пользователя, хранимого в поле SrcUsername. Поддерживаются значения UPN, Windows, DN и Simple. Подробнее см. в статье Сущность пользователя.

Пример: Windows
SrcUserType Необязательно Enumerated Тип субъекта Actor. Допустимые значения:
- Regular
- Machine
- Admin
- System
- Application
- Service Principal
- Other

Примечание. Значение может быть указано в исходной записи с использованием разных терминов, которые должны быть нормализованы до этих значений. Сохраните исходное значение в поле EventOriginalUserType.
SrcOriginalUserType Начальный тип исходного пользователя, если он указан источником.
SrcMacAddr Обязательно Mac Address MAC-адрес клиента, запрашивающего аренду DHCP.

Примечание. DHCP-сервер Windows регистрирует MAC-адрес нестандартным образом, пропуская двоеточия, которые должны быть вставлены средством синтаксического анализа.

Пример: 06:10:9f:eb:8f:14
DhcpLeaseDuration Необязательно Целое Длительность аренды, предоставленной клиенту, в секундах.
DhcpSessionId Необязательно строка Идентификатор сеанса, сообщаемый устройством составления отчетов. Для DHCP-сервера Windows установите значение в поле TransactionID.

Пример: 2099570186
SessionId Псевдоним Строка Псевдоним dhcpSessionId
DhcpSessionDuration Необязательно Целое Время в миллисекундах, необходимое для завершения сеанса DHCP.

Пример: 1500
Длительность Псевдоним Псевдоним для DhcpSessionDuration
DhcpSrcDHCId  Необязательно Строка Идентификатор DHCP-клиента в соответствии с определением в RFC4701.
DhcpCircuitId  Необязательно Строка Идентификатор цепи DHCP в соответствии с определением в RFC3046.
DhcpSubscriberId  Необязательно Строка Идентификатор подписчика DHCP в соответствии с определением в RFC3993.
DhcpVendorClassId   Необязательно Строка Идентификатор класса поставщика DHCP в соответствии с определением в RFC3925.
DhcpVendorClass   Необязательно Строка Класс поставщика DHCP в соответствии с определением в RFC3925.
DhcpUserClassId   Необязательно Строка Идентификатор класса пользователя DHCP в соответствии с определением в RFC3004.
DhcpUserClass  Необязательно Строка Класс пользователя DHCP в соответствии с определением в RFC3004.

Дальнейшие действия

Дополнительные сведения см. в разделе: