重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
DHCP 信息模型用于描述 DHCP 服务器报告的事件,Microsoft Sentinel 用它来启用与源无关的分析。
有关详细信息,请参阅规范化和高级安全信息模型 (ASIM)。
架构概述
ASIM DHCP 架构表示 DHCP 服务器活动,包括为 DHCP IP 地址(从客户端系统租用)请求提供服务,以及使用授予的租用更新 DNS 服务器。
DHCP 事件中最重要的字段是 SrcIpAddr 和 SrcHostname,DHCP 服务器通过授予租用来绑定它们,其别名分别为 IpAddr 和 Hostname 字段。 SrcMacAddr 字段也很重要,因为它表示 IP 地址未租用时使用的客户端计算机。
DHCP 服务器可能会因安全问题或网络饱和而拒绝客户端。 它也有可能通过租给客户端一个将其连接到有限网络的 IP 地址来隔离客户端。 EventResult、EventResultDetails 和 DvcAction 字段提供有关 DHCP 服务器响应和操作的信息。
租用持续时间存储在 DhcpLeaseDuration 字段中。
架构详细信息
ASIM 与开源安全事件元数据 (OSSEM) 项目保持一致。
OSSEM 没有与 ASIM DHCP 架构相当的 DHCP 架构。
通用 ASIM 字段
重要
ASIM 通用字段一文详细介绍了所有架构的通用字段。
符合特定准则的通用字段
以下列表提及了符合 DHCP 事件特定准则的字段:
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| EventType | 必需 | Enumerated | 指示记录报告的操作。 可能值为 Assign、Renew、Release 和 DNS Update。 示例: Assign |
| EventSchemaVersion | 必需 | 字符串 | 此处记录的架构版本为 0.1。 |
| EventSchema | 必需 | 字符串 | 此处记录的 DhcpEvent 架构的名称。 |
| Dvc 字段 | - | - | 对于 DHCP 事件,设备字段是指报告 DHCP 事件的系统。 |
所有通用字段
表中显示的字段是所有 ASIM 架构通用的。 上面指定的任何准则都将替代字段的一般准则。 例如,字段通常情况下可能是可选项,但可能是特定架构的必需项。 有关每个字段的详细信息,请参阅 ASIM 通用字段一文。
| 类 | Fields |
|---|---|
| 必需 |
- EventCount - EventStartTime - EventEndTime - EventType - EventResult - “EventProduct” - EventVendor 事件供应商 - EventSchema - EventSchemaVersion - Dvc |
| 建议 |
- EventResultDetails - EventSeverity 事件严重性 - EventUid 事件 - DvcIpAddr - DvcHostname - Dvc域 - DvcDomainType - DvcFQDN - DvcId - DvcIdType- - DvcAction |
| 可选 |
- EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner 事件所有者 - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
特定于 DHCP 的字段
列出的字段特定于 DHCP 事件,但许多字段与其他架构中的字段相似,并遵循相同的命名约定。
| 字段 | 类 | 类型 | 备注 |
|---|---|---|---|
| SrcIpAddr | 必需 | IP 地址 | DHCP 服务器分配给客户端的 IP 地址。 示例: 192.168.12.1 |
| IpAddr | Alias | SrcIpAddr 的别名 | |
| RequestedIpAddr | 可选 | IP 地址 | DHCP 客户端请求的 IP 地址(如果可用)。 示例: 192.168.12.3 |
| SrcHostname 的 | 必需 | 字符串 | 请求 DHCP 租用的设备的主机名。 如果没有可用的设备名称,请在此字段中存储相关的 IP 地址。 示例: DESKTOP-1282V4D |
| 主机名 | Alias | SrcHostname 的别名 | |
| SrcDomain | 建议 | 字符串 | 源设备的域。 示例: Contoso |
| SrcDomainType | 条件逻辑 | Enumerated |
SrcDomain 的类型(如果已知)。 可能的值包括: - Windows(例如:contoso)- FQDN(例如:microsoft.com)如果使用了 SrcDomain,则该字段是必填的。 |
| SrcFQDN | 可选 | 字符串 | 源设备主机名,包括域信息(如果可用)。 注意:此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 SrcDomainType 字段反映使用的格式。 示例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 可选 | 字符串 | 记录中报告的源设备的 ID。 例如: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 可选 | 字符串 | 设备所属的云平台范围 ID。 SrcDvcScopeId 映射到 Azure 上的订阅 ID。 |
| SrcDvcScope | 可选 | 字符串 | 设备所属的云平台范围。 SrcDvcScope 映射到 Azure 上的订阅 ID。 |
| SrcDvcIdType | 条件逻辑 | Enumerated |
SrcDvcId 的类型(如果已知)。 可能的值包括: - AzureResourceId- MDEid如果有多个可用 ID,请使用上述列表中的第一个 ID,并分别在 SrcDvcAzureResourceId 和 SrcDvcMDEid 中存储其他 ID 。 注意:如果使用了 SrcDvcId,则此字段是必填的。 |
| SrcDeviceType | 可选 | Enumerated | 源设备的类型。 可能的值包括: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | 可选 | 字符串 | 源用户的计算机可读的唯一字母数字表示形式。 格式和支持的类型包括: - SID (Windows):- - UID (Linux):- - AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId:- 在 SrcUserIdType 字段中存储 ID 类型。 如果其他 ID 可用,建议将字段名称分别规范化为 SrcUserSid、SrcUserUid 和 SrcUserAadId。 示例: S-1-12 |
| SrcUserIdType | 条件逻辑 | Enumerated |
SrcUserId 字段中存储的 ID 的类型。 支持的值包括:SID、UIS、AADID。 |
| SrcUsername | 可选 | 字符串 | 源用户名,包括域信息(如果可用)。 使用以下格式之一并遵循以下优先顺序: - UPN/电子邮件: - Windows:- - DN:- - 简单:。 仅当未提供域信息时才使用简单格式。 在 SrcUsernameType 字段中存储用户名类型。 如果其他 ID 可用,建议将字段名称规范化为 SrcUserUpn、SrcUserWindows 和 SrcUserDn。 有关详细信息,请参阅用户实体。 示例: AlbertE |
| 用户 | Alias | SrcUsername 的别名 | |
| SrcUsernameType | 条件逻辑 | Enumerated | 指定 SrcUsername 字段中存储的用户名的类型。 支持的值为 UPN、Windows、DN 和 Simple。 有关详细信息,请参阅用户实体。示例: Windows |
| SrcUserType | 可选 | Enumerated | 操作者的类型。 允许值包括: - Regular- Machine- Admin- System- Application- Service Principal- Other注意:可以在源记录中使用不同字词提供该值,这些字词应规范化为这些值。 在 EventOriginalUserType 字段中存储原始值。 |
| SrcOriginalUserType | 原始源用户类型(如果源已提供)。 | ||
| SrcMacAddr | 必需 | MAC 地址 | 请求 DHCP 租用的客户端的 MAC 地址。 注意:Windows DHCP 服务器以非标准方式记录 MAC 地址,省略分析器应插入的冒号。 示例: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | 可选 | 整数 | 授予客户端的租用时长,以秒为单位。 |
| DhcpSessionId | 可选 | 字符串 | 报告设备报告的会话标识符。 对于 Windows DHCP 服务器,请将此字段设置为 TransactionID 字段。 示例: 2099570186 |
| SessionId | Alias | 字符串 | DhcpSessionId 的别名 |
| DhcpSessionDuration | 可选 | 整数 | 完成 DHCP 会话所花费的时间,以毫秒为单位。 示例: 1500 |
| 持续时间 | Alias | DhcpSessionDuration 的别名 | |
| DhcpSrcDHCId | 可选 | 字符串 | RFC4701 定义的 DHCP 客户端 ID |
| DhcpCircuitId | 可选 | 字符串 | RFC3046 定义的 DHCP 线路 ID |
| DhcpSubscriberId | 可选 | 字符串 | RFC3993 定义的 DHCP 订阅者 ID |
| DhcpVendorClassId | 可选 | 字符串 | RFC3925 定义的 DHCP 供应商类 ID。 |
| DhcpVendorClass | 可选 | 字符串 | RFC3925 定义的 DHCP 供应商类。 |
| DhcpUserClassId | 可选 | 字符串 | 由 RFC3004定义的 DHCP 用户类 ID。 |
| DhcpUserClass | 可选 | 字符串 | RFC3004 定义的 DHCP 用户类。 |
后续步骤
有关详细信息,请参阅: