مرجع مخطط تسوية DHCP لنموذج معلومات الأمان المتقدم (ASIM) (معاينة عامة)
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
يتم استخدام نموذج معلومات DHCP لوصف الأحداث التي أبلغ عنها خادم DHCP، ويستخدمه Microsoft Sentinel لتمكين التحليلات غير المتصلة بالمصادر.
لمزيد من المعلومات، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM) .
هام
مخطط تسوية DHCP قيد المعاينة حاليا. يتم توفير هذه الميزة دون اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال عمل الإنتاج.
تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.
نظرة عامة على المخطط
يمثل مخطط ASIM DHCP نشاط خادم DHCP، بما في ذلك تقديم طلبات عنوان IP DHCP المستأجر من أنظمة العميل وتحديث خادم DNS مع عقود الإيجار الممنوحة.
الحقول الأكثر أهمية في حدث DHCP هي SrcIpAddrوSrcHostname، والتي يربطها خادم DHCP عن طريق منح عقد الإيجار، ويتم تسميتها بالاسم المستعار بواسطة حقلي IpAddr واسم المضيف على التوالي. يعد حقل SrcMacAddr مهما أيضا لأنه يمثل جهاز العميل المستخدم عندما لا يتم تأجير عنوان IP.
قد يرفض خادم DHCP عميلا، إما بسبب المخاوف الأمنية، أو بسبب تشبع الشبكة. قد يقوم أيضا بعزل العميل عن طريق التأجير إليه عنوان IP الذي من شأنه توصيله بشبكة محدودة. توفر حقول EventResult و EventResultDetailsوDvcAction معلومات حول استجابة خادم DHCP وإجراءه.
يتم تخزين مدة عقد الإيجار في حقل DhcpLeaseDuration .
تفاصيل المخطط
تتم محاذاة ASIM مع مشروع بيانات تعريف أحداث الأمان مفتوحة المصدر (OSSEM ).
لا يحتوي OSSEM على مخطط DHCP قابل للمقارنة مع مخطط ASIM DHCP.
حقول ASIM الشائعة
هام
يتم وصف الحقول الشائعة لكافة المخططات بالتفصيل في مقالة الحقول الشائعة ASIM .
الحقول المشتركة مع إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث DHCP:
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| EventType | إلزامي | تعداد | الإشارة إلى العملية التي أبلغ عنها السجل. القيم المحتملة هي Assignو ReleaseRenewو.DNS Update مثال: Assign |
| EventSchemaVersion | إلزامي | سلسلة | إصدار المخطط الموثق هنا هو 0.1. |
| EventSchema | إلزامي | سلسلة | اسم المخطط الموثق هنا هو Dhcp. |
| حقول Dvc | - | - | بالنسبة لأحداث DHCP، تشير حقول الجهاز إلى النظام الذي يبلغ عن حدث DHCP. |
كافة الحقول الشائعة
الحقول التي تظهر في الجدول أدناه شائعة لجميع مخططات ASIM. أي إرشادات محددة أعلاه تتجاوز الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريا بشكل عام، ولكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع مقالة الحقول المشتركة ASIM .
| الفصل | الحقول |
|---|---|
| إلزامي | - عدد الأحداث - EventStartTime - EventEndTime - نوع الحدث - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| المستحسنة | - EventResultDetails - حدث كلي - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - نوع DvcId - DvcAction |
| اختياري | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - حقول إضافية - وصف DvcDescription |
الحقول الخاصة ب DHCP
الحقول أدناه خاصة بأحداث DHCP، ولكن العديد منها يشبه الحقول في المخططات الأخرى ويتبع نفس اصطلاح التسمية.
| الحقل | الفصل | النوع | ملاحظات |
|---|---|---|---|
| SrcIpAddr | إلزامي | هذا عنوان IP | عنوان IP المعين للعميل بواسطة خادم DHCP. مثال: 192.168.12.1 |
| IpAddr | الاسم المستعار | الاسم المستعار ل SrcIpAddr | |
| طلبIpAddr | اختياري | هذا عنوان IP | عنوان IP المطلوب من قبل عميل DHCP، عند توفره. مثال: 192.168.12.3 |
| اسم SrcHostname | إلزامي | سلسلة | اسم مضيف الجهاز الذي يطلب عقد تأجير DHCP. إذا لم يتوفر اسم الجهاز، فخزن عنوان IP ذي الصلة في هذا الحقل. مثال: DESKTOP-1282V4D |
| المضيف | الاسم المستعار | الاسم المستعار ل SrcHostname | |
| SrcDomain | المستحسنة | سلسلة | مجال الجهاز المصدر. مثال: Contoso |
| SrcDomainType | المستحسنة | تعداد | نوع SrcDomain، إذا كان معروفا. تشمل القيم المتاحة ما يلي: - Windows (مثل: contoso)- FQDN (مثل: microsoft.com)مطلوب إذا تم استخدام SrcDomain . |
| SrcFQDN | اختياري | سلسلة | اسم مضيف الجهاز المصدر، بما في ذلك معلومات المجال عند توفره. ملاحظة: يدعم هذا الحقل تنسيق FQDN التقليدي وتنسيق Windows domain\hostname. يعكس حقل SrcDomainType التنسيق المستخدم. مثال: Contoso\DESKTOP-1282V4D |
| SrcDvcId | اختياري | سلسلة | معرف الجهاز المصدر كما تم الإبلاغ عنه في السجل. على سبيل المثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| نوع SrcDvcIdType | اختياري | تعداد | نوع SrcDvcId، إذا كان معروفا. تشمل القيم المتاحة ما يلي: - AzureResourceId- MDEidإذا كانت معرفات متعددة متوفرة، فاستخدم المعرف الأول من القائمة أعلاه، وقم بتخزين المعرفين الآخرين في SrcDvcAzureResourceIdوSrcDvcMDEid، على التوالي. ملاحظة: هذا الحقل مطلوب إذا تم استخدام SrcDvcId . |
| SrcDeviceType | اختياري | تعداد | نوع الجهاز المصدر. تشمل القيم المتاحة ما يلي: - Computer- Mobile Device- IOT Device- Other |
| معرف SrcUserId | اختياري | سلسلة | تمثيل فريد قابل للقراءة الآلية، أبجدية رقمية، وفريدة من نوعها للمستخدم المصدر. تتضمن الأنواع المعتمدة والتنسيق ما يلي: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (Azure Active Directory): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673تخزين نوع المعرف في حقل SrcUserIdType . إذا كانت المعرفات الأخرى متوفرة، نوصي بتطبيع أسماء الحقول إلى SrcUserSid وSrcUserUid وSrcUserAadId وSrcUserOktaId وUserAwsId على التوالي. مثال: S-1-12 |
| SrcUserIdType | اختياري | تعداد | نوع المعرف المخزن في حقل SrcUserId . تتضمن القيم المدعومة: SIDو UISAADIDو OktaIdو و.AWSId |
| SrcUsername | اختياري | سلسلة | اسم المستخدم المصدر، بما في ذلك معلومات المجال عند توفره. استخدم أحد التنسيقات التالية وبترتيب الأولوية التالي: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- بسيط: johndow. استخدم النموذج البسيط فقط إذا لم تكن معلومات المجال متوفرة.تخزين نوع اسم المستخدم في حقل SrcUsernameType . إذا كانت المعرفات الأخرى متوفرة، نوصي بتطبيع أسماء الحقول إلى SrcUserUpnوSrcUserWindowsوSrcUserDn. لمزيد من المعلومات، راجع كيان المستخدم. مثال: AlbertE |
| اسم المستخدم | الاسم المستعار | الاسم المستعار ل SrcUsername | |
| نوع SrcUsernameType | اختياري | تعداد | يحدد نوع اسم المستخدم المخزن في حقل SrcUsername . القيم المدعومة هي: UPNو WindowsDNو و.Simple لمزيد من المعلومات، راجع كيان المستخدم.مثال: Windows |
| نوع SrcUser | اختياري | تعداد | نوع الممثل. القيم المسموح بها هي: - Regular- Machine- Admin- System- Application- Service Principal- Otherملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. تخزين القيمة الأصلية في حقل EventOriginalUserType . |
| SrcOriginalUserType | نوع المستخدم المصدر الأصلي، إذا تم توفيره من قبل المصدر. | ||
| SrcMacAddr | إلزامي | عنوان Mac | عنوان MAC للعميل الذي يطلب عقد إيجار DHCP. ملاحظة: يسجل خادم Windows DHCP عنوان MAC بطريقة غير قياسية، مع حذف النقطتين، والتي يجب إدراجها بواسطة المحلل. مثال: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | اختياري | عدد صحيح | طول عقد الإيجار الممنوح للعميل، بالثوان. |
| معرف DhcpSessionId | اختياري | سلسلة | معرف جلسة العمل كما تم الإبلاغ عنه بواسطة جهاز إعداد التقارير. بالنسبة إلى خادم DHCP Windows، قم بتعيين هذا إلى حقل TransactionID. مثال: 2099570186 |
| معرف الجلسة | الاسم المستعار | سلسلة | الاسم المستعار ل DhcpkSessionId |
| DhcpSessionDuration | اختياري | عدد صحيح | مقدار الوقت، بالمللي ثانية، لإكمال جلسة DHCP. مثال: 1500 |
| المدة | الاسم المستعار | الاسم المستعار ل DhcpSessionDuration | |
| DhcpSrcDHCId | اختياري | سلسلة | معرف عميل DHCP، كما هو محدد بواسطة RFC4701 |
| DhcpCircuitId | اختياري | سلسلة | معرف دائرة DHCP، كما هو محدد بواسطة RFC3046 |
| معرف DhcpSubscriberId | اختياري | سلسلة | معرف مشترك DHCP، كما هو محدد بواسطة RFC3993 |
| DhcpVendorClassId | اختياري | سلسلة | معرف فئة مورد DHCP، كما هو محدد بواسطة RFC3925. |
| فئة DhcpVendor | اختياري | سلسلة | فئة مورد DHCP، كما هو محدد بواسطة RFC3925. |
| DhcpUserClassId | اختياري | سلسلة | معرف فئة مستخدم DHCP، كما هو محدد بواسطة RFC3004. |
| DhcpUserClass | اختياري | سلسلة | فئة مستخدم DHCP، كما هو محدد بواسطة RFC3004. |
الخطوات التالية
لمزيد من المعلومات، انظر: