Referensi skema normalisasi DNS Advanced Security Information Model (ASIM) (Pratinjau umum)
Model informasi DHCP digunakan untuk menjelaskan kejadian yang dilaporkan oleh server DHCP, dan digunakan oleh Microsoft Sentinel untuk mengaktifkan analitik sumber agnostik.
Untuk informasi selengkapnya, lihat Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Penting
Skema normalisasi DHCP saat ini dalam PRATINJAU. Fitur ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi.
Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Gambaran umum Skema
Skema DHCP ASIM mewakili aktivitas server DHCP, termasuk melayani permintaan alamat IP DHCP yang disewa dari sistem klien dan memperbarui server DNS dengan sewa yang diberikan.
Bidang yang paling penting dalam kejadian DHCP adalah SrcIpAddr dan SrcHostname, yang diikat server DHCP dengan memberikan sewa, dan masing-masing dialiaskan oleh bidang IpAddr dan Hostname. Bidang SrcMacAddr juga penting karena mewakili mesin klien yang digunakan ketika alamat IP tidak disewa.
Server DHCP dapat menolak klien, baik karena masalah keamanan atau karena kejenuhan jaringan. Server ini juga dapat mengkarantina klien dengan menyewakan alamat IP yang akan menghubungkannya ke jaringan terbatas. Bidang EventResult, EventResultDetails, dan DvcAction memberikan informasi tentang respons dan tindakan server DHCP.
Durasi sewa disimpan di bidang DhcpLeaseDuration.
Detail skema
ASIM selaras dengan proyek Metadata Kejadian Keamanan Sumber Terbuka (OSSEM).
OSSEM tidak memiliki skema DHCP yang sebanding dengan skema DHCP ASIM.
Bidang ASIM umum
Penting
Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.
Bidang Umum dengan pedoman khusus
Daftar berikut menyebutkan bidang yang memiliki pedoman khusus untuk peristiwa DNS:
| Bidang | Kelas | Jenis | Keterangan |
|---|---|---|---|
| EventType | Wajib | Disebutkan | Tunjukkan operasi yang dilaporkan oleh catatan. Nilai yang mungkin adalah Assign, Renew, Release, dan DNS Update. Contoh: Assign |
| EventSchemaVersion | Wajib | String | Versi skema yang didokumentasikan di sini adalah 0.1. |
| EventSchema | Wajib | String | Nama skema yang didokumentasikan di sini adalah DhcpEvent. |
| Bidang Dvc | - | - | Untuk peristiwa DNS, bidang perangkat mengacu pada sistem yang melaporkan peristiwa DNS. |
Semua bidang umum
Bidang yang muncul pada tabel di bawah ini adalah umum untuk semua skema ASIM. Setiap pedoman yang ditentukan di atas mengambil alih pedoman umum untuk bidang ini. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk detail lebih lanjut tentang setiap bidang, lihat artikel Bidang Umum ASIM.
| Kelas | Bidang |
|---|---|
| Wajib | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Disarankan | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opsional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Bidang khusus DHCP
Bidang di bawah ini khusus untuk kejadian DHCP, tetapi banyak yang mirip dengan bidang di skema lain dan mengikuti konvensi penamaan serupa.
| Bidang | Kelas | Jenis | Catatan |
|---|---|---|---|
| SrcIpAddr | Wajib | Alamat IP | Alamat IP yang ditetapkan kepada klien oleh server DHCP. Contoh: 192.168.12.1 |
| IpAddr | Alias | Alias untuk SrcIpAddr | |
| RequestedIpAddr | Opsional | Alamat IP | Alamat IP yang diminta oleh klien DHCP, jika tersedia. Contoh: 192.168.12.3 |
| SrcHostname | Wajib | String | Nama host perangkat yang meminta sewa DHCP. Jika tidak ada nama perangkat yang tersedia, simpan alamat IP yang relevan di bidang ini. Contoh: DESKTOP-1282V4D |
| Hostname | Alias | Alias untuk SrcHostname | |
| SrcDomain | Disarankan | String | Domain perangkat sumber. Contoh: Contoso |
| SrcDomainType | Kondisional | Disebutkan | Jenis SrcDomain, jika diketahui. Nilai yang mungkin termasuk: - Windows (misalnya: contoso)- FQDN (misalnya: microsoft.com)Diperlukan jika SrcDomain digunakan. |
| SrcFQDN | Opsional | String | Nama host perangkat sumber, termasuk informasi domain saat tersedia. Catatan: Bidang ini mendukung format FQDN tradisional dan format domain\hostname Windows. Bidang SrcDomainType mencerminkan format yang digunakan. Contoh: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opsional | String | ID perangkat sumber seperti yang dilaporkan dalam rekaman. Misalnya: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opsional | String | ID cakupan platform cloud milik perangkat. Peta SrcDvcScopeId ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcDvcScope | Opsional | String | Cakupan platform cloud milik perangkat. SrcDvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcDvcIdType | Kondisional | Disebutkan | Jenis SrcDvcId, jika diketahui. Nilai yang mungkin termasuk: - AzureResourceId- MDEidJika beberapa ID tersedia, gunakan yang pertama dari daftar di atas, dan simpan yang lain di masing-masing SrcDvcAzureResourceId dan SrcDvcMDEid. Catatan: Bidang ini diperlukan jika SrcDvcId digunakan. |
| SrcDeviceType | Opsional | Disebutkan | Jenis perangkat sumber Nilai yang mungkin termasuk: - Computer- Mobile Device- IOT Device- Other |
| SrcUserId | Opsional | String | Representasi unik, alfanumerik, dan dapat dibaca komputer dari pengguna sumber. Format dan tipe yang didukung meliputi: - SID (Windows): S-1-5-21-1377283216-344919071-3415362939-500- UID (Linux): 4578- AADID (ID Microsoft Entra): 9267d02c-5f76-40a9-a9eb-b686f3ca47aa- OktaId: 00urjk4znu3BcncfY0h7- AWSId: 72643944673Simpan tipe ID di bidang SrcUserIdType. Jika ID lain tersedia, kami sarankan Anda menormalkan nama bidang ke SrcUserSid, SrcUserUid, SrcUserAadId, SrcUserOktaId dan UserAwsId, masing-masing. Contoh: S-1-12 |
| SrcUserIdType | Kondisional | Disebutkan | Jenis ID yang disimpan pada bidang ActorUserId. Nilai yang didukung mencakup: SID, UIS, AADID, OktaId, dan AWSId. |
| SrcUsername | Opsional | String | Nama pengguna Sumber, termasuk informasi domain jika tersedia. Gunakan salah satu format berikut dan dalam urutan prioritas berikut: - Upn/Email: johndow@contoso.com- Windows: Contoso\johndow- DN: CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC=COM- Sederhana: johndow. Gunakan formulir ini hanya jika informasi domain tidak tersedia.Simpan jenis Nama Pengguna di bidang SrcUsernameType. Jika ID lain tersedia, sebaiknya Anda menormalkan nama bidang menjadi SrcUserUpn, SrcUserWindows, dan SrcUserDn. Untuk informasi lebih lanjut, lihat Entitas pengguna. Contoh: AlbertE |
| Pengguna | Alias | Alias untuk SrcUsername | |
| SrcUsernameType | Kondisional | Disebutkan | Menentukan jenis nama pengguna yang disimpan di bidang TargetUsername. Nilai yang didukung adalah UPN, Windows, DN, dan Simple. Untuk informasi lebih lanjut, lihat Entitas pengguna.Contoh: Windows |
| SrcUserType | Opsional | Disebutkan | Tipe Pelaku. Nilai yang diperbolehkan adalah: - Regular- Machine- Admin- System- Application- Service Principal- OtherCatatan: Nilai dapat diberikan dalam rekaman sumber menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai ini. Simpan nilai asli di bidang EventOriginalUserType. |
| SrcOriginalUserType | Jenis pengguna sumber asli, jika disediakan oleh sumber. | ||
| SrcMacAddr | Wajib | Alamat MAC | Alamat MAC klien yang meminta sewa DHCP. Catatan: Server DHCP Windows mencatat alamat MAC dengan cara tidak standar, menghilangkan titik dua yang seharusnya dimasukkan oleh parser. Contoh: 06:10:9f:eb:8f:14 |
| DhcpLeaseDuration | Opsional | Bilangan bulat | Panjang sewa yang diberikan kepada klien, dalam hitungan detik. |
| DhcpSessionId | Opsional | string | Pengidentifikasi sesi seperti yang dilaporkan oleh perangkat pelaporan. Untuk server DHCP Windows, atur ini ke bidang TransactionID. Contoh: 2099570186 |
| SessionId | Alias | String | Alias untuk DhcpSessionId |
| DhcpSessionDuration | Opsional | Bilangan bulat | Jumlah waktu, dalam milidetik, untuk penyelesaian sesi DHCP. Contoh: 1500 |
| Durasi | Alias | Alias untuk DhcpSessionDuration | |
| DhcpSrcDHCId | Opsional | String | ID klien DHCP, seperti yang ditentukan oleh RFC4701 |
| DhcpCircuitId | Opsional | String | ID sirkuit DHCP, seperti yang ditentukan oleh RFC3046 |
| DhcpSubscriberId | Opsional | String | ID pelanggan DHCP, seperti yang ditentukan oleh RFC3993 |
| DhcpVendorClassId | Opsional | String | ID Kelas Vendor DHCP, seperti yang ditentukan oleh RFC3925. |
| DhcpVendorClass | Opsional | String | Kelas Vendor DHCP, seperti yang ditentukan oleh RFC3925. |
| DhcpUserClassId | Opsional | String | ID Kelas Pengguna DHCP, seperti yang ditentukan oleh RFC3004. |
| DhcpUserClass | Opsional | String | Kelas Pengguna DHCP, seperti yang ditentukan oleh RFC3004. |
Langkah berikutnya
Untuk informasi selengkapnya, lihat: