إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يتم استخدام نموذج معلومات DHCP لوصف الأحداث التي تم الإبلاغ عنها بواسطة خادم DHCP، ويتم استخدامه بواسطة Microsoft Azure Sentinel لتمكين التحليلات غير المحددة المصدر.
لمزيد من المعلومات، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
نظرة عامة على المخطط
يمثل مخطط ASIM DHCP نشاط خادم DHCP، بما في ذلك خدمة طلبات عنوان IP لـ DHCP المستأجرة من أنظمة العميل وتحديث خادم DNS مع الإيجارات الممنوحة.
أهم الحقول في حدث DHCP هي SrcIpAddr وSrcHostname، والتي يربطها خادم DHCP بمنح عقد الإيجار، وتتم تسميتها بواسطة IpAddr واسم المضيف الحقول على التوالي. يعد حقل SrcMacAddr مهما أيضا لأنه يمثل جهاز العميل المستخدم عندما لا يتم تأجير عنوان IP.
قد يرفض خادم DHCP العميل، إما بسبب مخاوف أمنية أو بسبب تشبع الشبكة. قد يقوم أيضاً بعزل العميل عن طريق تأجيره لعنوان IP الذي من شأنه توصيله بشبكة محدودة. توفر الحقول EventResultو EventResultDetails وDvcAction معلومات بشأن استجابة خادم DHCP وإجراءاته.
يتم تخزين مدة عقد الإيجار في الحقل DhcpLeaseDuration.
تفاصيل المُخطط
يتوافق ASIM مع مشروع Open Source Security Events بيانات التعريف (OSSEM).
لا يحتوي OSSEM على مخطط DHCP قابل للمقارنة مع مخطط ASIM DHCP.
حقول ASIM المشتركة
هام
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
الحقول المشتركة مع إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث DHCP:
| ميدان | فصل | النوع | الوصف |
|---|---|---|---|
| EventType | إلزامي | Enumerated | أشر إلى العملية التي أبلغ عنها السجل. القيم المحتملة هي Assignو RenewReleaseو و.DNS Update مثال: Assign |
| EventSchemaVersion | إلزامي | إصدار المخطط (السلسلة النصية) | النسخة الموثقة من المخطط هنا هي 0.1.1. |
| EventSchema | إلزامي | السلسلة | اسم المخطط الموثق هنا DhcpEvent. |
| حقول Dvc | - | - | بالنسبة لأحداث DHCP، تشير حقول الجهاز إلى النظام الذي يُبلغ عن حدث DHCP. |
جميع الحقول الشائعة
الحقول التي تظهر في الجدول شائعة لجميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من المعلومات حول كل حقل، راجع مقالة الحقول الشائعة ASIM .
| فصل | الحقول |
|---|---|
| إلزامي |
-
عدد الأحداث - الحدثStartTime - الحدثنهاية الوقت - نوع الحدث - نتيجة الحدث - منتج الحدث - الحدث البائع - مخطط الحدث - EventSchemaVersion - دي في سي |
| مستحسن |
-
EventResultتفاصيل - حدث كلي - EventUid - DvcIpAddr - Dvcاسم المضيف - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - نوع DvcId - دي في سي أكشن |
| اختياري |
-
رسالة الحدث - نوع فرعي الحدث - EventOriginalUid - نوع الحدث الأصلي - الحدث النوع الفرعي الأصلي - الحدثOriginalResultالتفاصيل - الحدثالأصلالخطورة - الحدثProductVersion - الحدثتقريرUrl - مالك الحدث - دي في سي زون - دي في سي ماك أدر - دي في سي - دي في سي أو إس فريجن - دي في سي الأصلي - واجهة DvcInterface - حقول إضافية - وصف DvcDescription - معرف DvcScopeId - دي في سي سكوب |
الحقول الخاصة بـ DHCP
| ميدان | فصل | النوع | ملاحظات |
|---|---|---|---|
| مدة تأجير DHCP | اختياري | رقم صحيح | مدة عقد الإيجار الممنوح للعميل بالثواني. |
| DhcpSessionId | اختياري | سلسلة | معرّف الجلسة كما تم الإبلاغ عنه بواسطة جهاز التقارير. بالنسبة لخادم Windows DHCP، قم بتعيين هذا على حقل TransactionID. مثال: 2099570186 |
| معرف الجلسة | الاسم المستعار | السلسلة | الاسم المستعار ل DhcpSessionId |
| مدة جلسة DHCP | اختياري | رقم صحيح | مقدار الوقت بالملّي ثانية لإكمال جلسة DHCP. مثال: 1500 |
| المدة | الاسم المستعار | الاسم المستعار لـ DhcpSessionDuration | |
| DhcpSrcDHCId | اختياري | السلسلة | معرف عميل DHCP، كما هو محدد بواسطة RFC4701 |
| DhcpCircuitId | اختياري | السلسلة | معرف دائرة DHCP، كما هو محدد بواسطة RFC3046 |
| DhcpSubscriberId | اختياري | السلسلة | معرف مشترك DHCP، كما هو محدد بواسطة RFC3993 |
| DhcpVendorClassId | اختياري | السلسلة | معرف فئة بائع DHCP، كما هو محدد بواسطة RFC3925. |
| DhcpVendorClass | اختياري | السلسلة | فئة بائع DHCP، كما هو محدد بواسطة RFC3925. |
| DhcpUserClassId | اختياري | السلسلة | معرف فئة مستخدم DHCP، كما هو محدد بواسطة RFC3004. |
| DhcpUserClass | اختياري | السلسلة | فئة مستخدم DHCP، كما هو محدد بواسطة RFC3004. |
| طلبIpAddr | اختياري | عنوان IP | عنوان IP الذي يطلبه عميل DHCP، عند توفره. مثال: 192.168.12.3 |
حقول النظام المصدر
النظام المصدر هو النظام الذي يطلب عقد إيجار DHCP
| ميدان | فصل | النوع | ملاحظات |
|---|---|---|---|
| SRC | الاسم المستعار | السلسلة | معرّف فريد للجهاز المصدر. يمكن أن يُعتبر هذا الحقل اسمًا مستعارًا للحقول SrcDvcId أو SrcHostname أو SrcIpAddr. مثال: 192.168.12.1 |
| SrcIpAddr | إلزامي | عنوان IP | عنوان IP المعين للعميل بواسطة خادم DHCP. مثال: 192.168.12.1 |
| بروتوكول IpAddr | الاسم المستعار | الاسم المستعار لـ SrcIpAddr | |
| اسم SrcHostname | إلزامي | اسم المضيف (String) | اسم مضيف الجهاز الذي يطلب عقد إيجار DHCP. إذا لم يتوفر اسم الجهاز، فخزن عنوان IP ذا الصلة في هذا الحقل. مثال: DESKTOP-1282V4D |
| اسم المضيف | الاسم المستعار | الاسم المستعار لـ SrcHostname | |
| SrcDomain | مستحسن | المجال (السلسلة) | مجال الجهاز المصدر. مثال: Contoso |
| SrcDomainType | شرطي | Enumerated | نوع SrcDomain، إذا كان معروفًا. تشمل القيم المتاحة ما يلي: - Windows(مثل: contoso)- FQDN(مثل: microsoft.com)مطلوب في حال استخدام SrcDomain. |
| SrcFQDN | اختياري | FQDN (الوتر) | اسم مضيف الجهاز المصدر، بما يشمل معلومات المجال عند توفرها. ملاحظة: يدعم هذا الحقل كلًا من تنسيق FQDN التقليدي وتنسيق Windows domain \ hostname. يعكس الحقل SrcDomainType التنسيق المُستخدم. مثال: Contoso\DESKTOP-1282V4D |
| معرف SrcDvcId | اختياري | السلسلة | معرّف الجهاز المصدر كما تم الإبلاغ به في السجل. على سبيل المثال: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | اختياري | السلسلة | معرف نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScopeId إلى معرف اشتراك على Azure ومعرف حساب على AWS. |
| SrcDvcScope | اختياري | السلسلة | نطاق النظام الأساسي السحابي الذي ينتمي إليه الجهاز. مخطط SrcDvcScope إلى معرف اشتراك على Azure وإلى معرف حساب على AWS. |
| SrcDvcIdType | شرطي | Enumerated | نوع SrcDvcId، إذا كان معروفًا. تشمل القيم المتاحة ما يلي: - AzureResourceId- MDEidفي حالة توفر معرفات متعددة، استخدم المعرف الأول من القائمة أعلاه، وقم بتخزين المعرفات الأخرى في SrcDvcAzureResourceId وSrcDvcMDEid، على التوالي. ملاحظة: هذا الحقل مطلوب في حال استخدام SrcDvcId. |
| SrcDeviceType | اختياري | Enumerated | نوع الجهاز المصدر. تشمل القيم المتاحة ما يلي: - Computer- Mobile Device- IOT Device- Other |
| وصف Src | اختياري | السلسلة | نص وصفي مرتبط بالجهاز. على سبيل المثال: Primary Domain Controller. |
| SrcGeoCountry | اختياري | البلد | البلد/المنطقة المقترنة بعنوان IP المصدر. مثال: USA |
| SrcGeoRegion | اختياري | منطقة | المنطقة المقترنة بعنوان IP المصدر. مثال: Vermont |
| إس آر سي جيو سيتي | اختياري | المدينة | المدينة المقترنة بعنوان IP للمصدر. مثال: Burlington |
| SrcGeoLatitude | اختياري | العرض | خط عرض الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. مثال: 44.475833 |
| SrcGeoLongitude | اختياري | خط الطول | خط طول الإحداثيات الجغرافية المقترنة بعنوان IP المصدر. مثال: 73.211944 |
| SrcRiskLevel | اختياري | رقم صحيح | مستوى المخاطر المقترن بالمصدر. يجب تعديل القيمة إلى نطاق من 0 إلى 100، مع 0 لغير ضارة و100 لخطر كبير.مثال: 90 |
| SrcOriginalRiskLevel | اختياري | السلسلة | مستوى المخاطر المقترن بالمصدر، كما تم الإبلاغ عنه بواسطة جهاز التقارير. مثال: Suspicious |
| رقم منفذ Src | اختياري | رقم صحيح | منفذ IP الذي نشأ منه الاتصال. قد لا تكون ذات صلة بجلسة عمل تتضمن اتصالات متعددة. مثال: 2335 |
حقول المستخدم المصدر
| ميدان | فصل | النوع | ملاحظات |
|---|---|---|---|
| معرف مستخدم Src | اختياري | السلسلة | تمثيل فريد، أبجدي رقمي، قابل للقراءة آليًا للمستخدم المصدر. لمزيد من المعلومات وللحصول على الحقول البديلة للمعرفات الإضافية، راجع كيان المستخدم. مثال: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | شرطي | UserIdType | نوع المعرف المخزن في حقل SrcUserId. لمزيد من المعلومات وقائمة القيم المسموح بها، راجع UserIdType في مقالة نظرة عامة على المخطط. |
| اسم مستخدم Src | اختياري | اسم المستخدم (نص) | اسم مستخدم المصدر، بما في ذلك معلومات المجال عند توفرها. لمزيد من المعلومات، راجع كيان المستخدم. مثال: AlbertE |
| User | الاسم المستعار | الاسم المستعار لـ SrcUsername | |
| نوع SrcUsername | شرطي | اسم المستخدم | يحدد نوع اسم المستخدم المخزن في حقل SrcUsername . لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع اسم المستخدم في مقالة نظرة عامة على المخطط. مثال: Windows |
| SrcUserType | اختياري | UserType | نوع المستخدم المصدر. لمزيد من المعلومات، وقائمة القيم المسموح بها، راجع نوع المستخدم في مقالة نظرة عامة على المخطط. على سبيل المثال: Guest |
| SrcOriginalUserType | اختياري | السلسلة | نوع مستخدم المصدر الأصلي، إذا قدمه المصدر. |
| SrcMacAddr | إلزامي | عنوان ماك | عنوان MAC الخاص بالعميل الذي يطلب عقد إيجار DHCP. ملاحظة: يسجل خادم Windows DHCP عنوان MAC بطريقة غير قياسية، مع حذف النقطتين، والتي يجب إدراجها بواسطة المحلل. مثال: 06:10:9f:eb:8f:14 |
| SrcUserScope | اختياري | السلسلة | النطاق، مثل مستأجر Microsoft Entra، حيث يتم تعريف SrcUserId وSrcUsername. أو مزيد من المعلومات وقائمة القيم المسموح بها، راجع UserScope في مقالة نظرة عامة على المخطط. |
| معرف SrcUserScopeId | اختياري | السلسلة | معرف النطاق، مثل معرف دليل Microsoft Entra، حيث يتم تعريف SrcUserId وSrcUsername. لمزيد من المعلومات وقائمة بالقيم المسموح بها، راجع UserScopeId في مقالة نظرة عامة على المخطط. |
| SrcUserSessionId | اختياري | السلسلة | المعرّف الفريد لجلسة تسجيل دخول المستخدم. مثال: 102pTUgC3p8RIqHvzxLCHnFlg |
حقول الفحص
| ميدان | فصل | النوع | ملاحظات |
|---|---|---|---|
| حكم | الاسم المستعار | سلسلة | إما قيمة RuleName أو قيمة RuleNumber. إذا تم استخدام قيمة RuleNumber، يجب تحويل النوع إلى سلسلة. |
| RuleNumber | اختياري | العدد الصحيح | عدد القاعدة المقترنة بالتنبيه. على سبيل المثال، 123456 |
| RuleName | اختياري | سلسلة | اسم القاعدة المقترنة بالتنبيه أو معرفها. على سبيل المثال، Server PSEXEC Execution via Remote Access |
| معرف التهديد | اختياري | سلسلة | معرف التهديد أو البرامج الضارة المحددة في التنبيه. على سبيل المثال، 1234567891011121314 |
| اسم التهديد | اختياري | سلسلة | اسم التهديد أو البرامج الضارة المحددة في التنبيه. على سبيل المثال، Init.exe |
| ThreatFirstReportTime | اختياري | التاريخ/الوقت | تاريخ ووقت الإبلاغ عن التهديد لأول مرة. على سبيل المثال، 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportTime | اختياري | التاريخ/الوقت | تاريخ ووقت آخر تقرير عن التهديد. على سبيل المثال، 2024-09-19T10:12:10.0000000Z |
| فئة التهديد | اختياري | السلسلة | فئة التهديد أو البرامج الضارة المحددة في التنبيه. القيم المدعومة هي: Malware، Ransomware، Trojan، Virus، Worm، Adware، Spyware، Rootkit، ، Cryptominor، ، Phishing، Spam، ، MaliciousUrl، Spoofing، Security Policy ViolationUnknown |
| التهديد هو نشط | اختياري | منطقي | يشير إلى ما إذا كان التهديد نشطا حاليا. القيم المدعومة هي: True، False |
| مستوى التهديد | اختياري | مستوى المخاطر (عدد صحيح) | مستوى المخاطر المرتبط بالتهديد. يلزم أن يكون المستوى رقمًا بين 0 و100. ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام أحجام مختلفة، والتي يجب أن تكون مطابقة لهذا الحجم. ينبغي تخزين القيمة الأصلية في ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | اختياري | سلسلة | مستوى المخاطر كما أبلغ عنه النظام الأصلي. |
| التهديد | اختياري | مستوى الثقة (عدد صحيح) | مستوى ثقة التهديد المحدد، الذي تمت تسويته إلى قيمة بين 0 و100. |
| التهديد الأصلي | اختياري | سلسلة | مستوى الثقة كما أبلغ عنه النظام الأصلي. |
تحديثات المخطط
فيما يلي التغييرات في الإصدار 0.1.1 من المخطط:
- تمت إضافة حقول تفتيش.
- تمت إضافة حقول تحديد الموقع الجغرافي المصدر.
- أضيفت حقول المصدر:
SrcDescription,SrcOriginalRiskLevel, ,SrcOriginalUserTypeSrcPortNumber,SrcRiskLevel,SrcUserScopeSrcUserScopeId,SrcUserSessionId``SrcUserUid - تمت إضافة الأسماء
Srcالمستعارة وUser - الحقول
SrcUserUidوThreatFieldمتاحة فيASimDhcpEventLogsالجدول لكنها ليست جزءا من المخطط.
الخطوات التالية
لمزيد من المعلومات، راجع: