高级安全信息模型 (ASIM) DHCP 规范化架构参考(公共预览版)
DHCP 信息模型用于描述 DHCP 服务器报告的事件,Microsoft Sentinel 用它来启用与源无关的分析。
有关详细信息,请参阅规范化和高级安全信息模型 (ASIM)。
重要
DHCP 规范化架构目前为预览版。 此功能不附带服务级别协议,不建议将其用于生产工作负荷。
Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
架构概述
ASIM DHCP 架构表示 DHCP 服务器活动,包括为 DHCP IP 地址(从客户端系统租用)请求提供服务,以及使用授予的租用更新 DNS 服务器。
DHCP 事件中最重要的字段是 SrcIpAddr 和 SrcHostname,DHCP 服务器通过授予租用来绑定它们,其别名分别为 IpAddr 和 Hostname 字段。 SrcMacAddr 字段也很重要,因为它表示未租用 IP 地址时使用的客户端计算机。
DHCP 服务器可能会因安全问题或网络饱和而拒绝客户端。 它也有可能通过租给客户端一个将其连接到有限网络的 IP 地址来隔离客户端。 EventResult、EventResultDetails 和 DvcAction 字段提供有关 DHCP 服务器响应和操作的信息。
租用持续时间存储在 DhcpLeaseDuration 字段中。
架构详细信息
ASIM 与开源安全事件元数据 (OSSEM) 项目保持一致。
OSSEM 没有与 ASIM DHCP 架构类似的 DHCP 架构。
通用 ASIM 字段
重要
ASIM 通用字段一文详细介绍了所有架构的通用字段。
符合特定准则的通用字段
以下列表提及了符合 DHCP 事件特定准则的字段:
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| EventType | 必需 | Enumerated | 指示记录报告的操作。 可能的值为 Assign、Renew、Release 和 DNS Update。 示例: Assign |
| EventSchemaVersion | 必需 | 字符串 | 此处所述的架构版本为 0.1。 |
| EventSchema | 必需 | 字符串 | 此处记录的架构的名称为 DhcpEvent。 |
| Dvc 字段 | - | - | 对于 DHCP 事件,设备字段是指报告 DHCP 事件的系统。 |
所有通用字段
下表中显示的字段是所有 ASIM 架构通用的。 上面指定的任何准则都将替代字段的一般准则。 例如,字段通常情况下可能是可选项,但可能是特定架构的必需项。 有关每个字段的更多详细信息,请参阅 ASIM 通用字段一文。
| 类 | Fields |
|---|---|
| 必需 | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - “EventProduct” - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 建议 | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType- - DvcAction |
| 可选 | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
特定于 DHCP 的字段
以下字段特定于 DHCP 事件,但有许多类似于其他架构中的字段,并遵循相同的命名约定。
| 字段 | 类 | 类型 | 备注 |
|---|---|---|---|
| SrcIpAddr | 必需 | IP 地址 | DHCP 服务器分配给客户端的 IP 地址。 示例: 192.168.12.1 |
| IpAddr | Alias | SrcIpAddr 的别名 | |
| RequestedIpAddr | 可选 | IP 地址 | DHCP 客户端请求的 IP 地址(如果可用)。 示例: 192.168.12.3 |
| SrcHostname | 必需 | 字符串 | 请求 DHCP 租用的设备的主机名。 如果没有可用的设备名称,请在此字段中存储相关的 IP 地址。 示例: DESKTOP-1282V4D |
| 主机名 | Alias | SrcHostname 的别名 | |
| SrcDomain | 建议 | 字符串 | 源设备的域。 示例: Contoso |
| SrcDomainType | 条件逻辑 | Enumerated | SrcDomain 的类型(如果已知)。 可能的值包括: - Windows(例如:contoso)- FQDN(例如:microsoft.com)如果使用了 SrcDomain,则该字段是必填的。 |
| SrcFQDN | 可选 | String | 源设备主机名,包括域信息(如果可用)。 注意:此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 SrcDomainType 字段反映使用的格式。 示例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 可选 | 字符串 | 记录中报告的源设备的 ID。 例如: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 可选 | String | 设备所属的云平台范围 ID。 SrcDvcScopeId 映射到 Azure 上的订阅 ID。 |
| SrcDvcScope | 可选 | String | 设备所属的云平台范围。 SrcDvcScope 映射到 Azure 上的订阅 ID。 |
| SrcDvcIdType | 条件逻辑 | Enumerated | SrcDvcId 的类型(如果已知)。 可能的值包括: - AzureResourceId- MDEid如果有多个可用 ID,请使用上述列表中的第一个 ID,并分别在 SrcDvcAzureResourceId 和 SrcDvcMDEid 中存储其他 ID 。 注意:如果使用了 SrcDvcId,则此字段是必填的。 |
| SrcDeviceType | 可选 | Enumerated | 源设备的类型。 可能的值包括: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | 可选 | String | 源用户的计算机可读的唯一字母数字表示形式。 格式和支持的类型包括: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- - UID (Linux): 4578- - AADID (Microsoft Entra ID): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- 在 SrcUserIdType 字段中存储 ID 类型。 如果其他 ID 可用,建议将字段名称分别规范化为 SrcUserSid、SrcUserUid 和 SrcUserAadId。 示例: S-1-12 |
| SrcUserIdType | 条件逻辑 | Enumerated | SrcUserId 字段中存储的 ID 的类型。 支持的值包括:SID、UIS、AADID。 |
| SrcUsername | 可选 | 字符串 | 源用户名,包括域信息(如果可用)。 使用以下格式之一并遵循以下优先顺序: - UPN/电子邮件: johndow@contoso.com- Windows: Contoso\johndow- - DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- - 简单: johndow。 仅当未提供域信息时才使用简单格式。在 SrcUsernameType 字段中存储用户名类型。 如果其他 ID 可用,建议将字段名称规范化为 SrcUserUpn、SrcUserWindows 和 SrcUserDn 。 有关详细信息,请参阅用户实体。 示例: AlbertE |
| 用户 | Alias | SrcUsername 的别名 | |
| SrcUsernameType | 条件逻辑 | Enumerated | 指定 SrcUsername 字段中存储的用户名的类型。 支持的值为 UPN、Windows、DN 和 Simple。 有关详细信息,请参阅用户实体。示例: Windows |
| SrcUserType | 可选 | Enumerated | 操作者的类型。 允许值包括: - Regular- Machine- Admin- System- Application- Service Principal- Other注意:可以在源记录中使用不同字词提供该值,这些字词应规范化为这些值。 在 EventOriginalUserType 字段中存储原始值。 |
| SrcOriginalUserType | 原始源用户类型(如果源已提供)。 | ||
| SrcMacAddr | 必需 | MAC 地址 | 请求 DHCP 租用的客户端的 MAC 地址。 注意:Windows DHCP 服务器以非标准方式记录 MAC 地址,省略应该由分析程序插入的冒号。 示例: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | 可选 | 整数 | 授予客户端的租用时长,以秒为单位。 |
| DhcpSessionId | 可选 | string | 报告设备报告的会话标识符。 对于 Windows DHCP 服务器,请将此字段设置为 TransactionID 字段。 示例: 2099570186 |
| SessionId | Alias | 字符串 | DhcpSessionId 的别名 |
| DhcpSessionDuration | 可选 | 整数 | 完成 DHCP 会话所花费的时间,以毫秒为单位。 示例: 1500 |
| 持续时间 | Alias | DhcpSessionDuration 的别名 | |
| DhcpSrcDHCId | 可选 | String | RFC4701 定义的 DHCP 客户端 ID |
| DhcpCircuitId | 可选 | String | RFC3046 定义的 DHCP 线路 ID |
| DhcpSubscriberId | 可选 | String | RFC3993 定义的 DHCP 订阅者 ID |
| DhcpVendorClassId | 可选 | String | RFC3925 定义的 DHCP 供应商类 ID。 |
| DhcpVendorClass | 可选 | String | RFC3925 定义的 DHCP 供应商类。 |
| DhcpUserClassId | 可选 | String | RFC3004 定义的 DHCP 用户类 ID。 |
| DhcpUserClass | 可选 | String | RFC3004 定义的 DHCP 用户类。 |
后续步骤
有关详细信息,请参阅: