Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Informační model DHCP slouží k popisu událostí hlášených serverem DHCP a služba Microsoft Sentinel ji používá k povolení analýzy nezávislé na zdroji.
Další informace naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Analyzátory
Další informace o analyzátorech ASIM najdete v přehledu analyzátorů ASIM.
Filtrování parametrů analyzátoru
Analyzátory DHCP podporují parametry filtrování. I když jsou tyto parametry volitelné, můžou zlepšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Název | Typ | Description |
|---|---|---|
| čas zahájení | datetime | Vyfiltrujte pouze události DHCP, ke kterým došlo v tuto chvíli nebo později. Tento parametr filtruje pole TimeGenerated , což je standardní designátor pro čas události, bez ohledu na mapování specifického analyzátoru polí EventStartTime a EventEndTime. |
| endtime | datetime | Vyfiltrujte pouze události DHCP, ke kterým došlo v tuto chvíli nebo dříve. Tento parametr filtruje pole TimeGenerated , což je standardní designátor pro čas události, bez ohledu na mapování specifického analyzátoru polí EventStartTime a EventEndTime. |
| srcipaddr_has_any_prefix | dynamic | Vyfiltrujte pouze události DHCP, u kterých se předpona zdrojové IP adresy shoduje s některou z uvedených hodnot. Předpony by měly končit například : .10.0.. |
| srchostname_has_any | dynamic | Vyfiltrujte pouze události DHCP, ve kterých má název zdrojového hostitele některou z uvedených hodnot. |
| srcusername_has_any | dynamic | Vyfiltrujte pouze události DHCP, u kterých má zdrojové uživatelské jméno některou z uvedených hodnot. |
| eventresult | řetězec | Vyfiltrujte pouze události DHCP s konkrétním výsledkem události. Slouží * k zahrnutí všech výsledků. |
Pokud například chcete filtrovat pouze události DHCP z konkrétního rozsahu IP adres za poslední den, použijte:
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
Přehled schématu
Schéma ASIM DHCP představuje aktivitu serveru DHCP, včetně obsluhy žádostí o zapůjčení IP adresy DHCP z klientských systémů a aktualizace serveru DNS s udělenými zapůjčeními.
Nejdůležitější pole v události DHCP jsou SrcIpAddr a SrcHostname, které server DHCP sváže udělením zapůjčení a jsou aliasy pole IpAddr a Název hostitele v uvedeném pořadí. Pole SrcMacAddr je také důležité, protože představuje klientský počítač používaný při zapůjčení IP adresy.
Server DHCP může klienta odmítnout buď kvůli obavám zabezpečení, nebo kvůli sytosti sítě. Klient může také umístit klienta do karantény tím, že mu pronajímá IP adresu, která by ji připojila k omezené síti. Pole EventResult, EventResultDetails a DvcAction poskytují informace o odpovědi a akci serveru DHCP.
Doba trvání zapůjčení je uložena v poli DhcpLeaseDuration .
Podrobnosti schématu
ASIM je v souladu s projektem OSSEM (Open Source Security Events Metadata).
OSSEM nemá schéma DHCP srovnatelné se schématem ASIM DHCP.
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
Následující seznam uvádí pole, která mají specifické pokyny pro události DHCP:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Typ události | Povinné | Enumerated | Uveďte operaci hlášenou záznamem. Možné hodnoty jsou Assign, Renew, Releasea DNS Update. Příklad: Assign |
| EventSchemaVersion | Povinné | SchemaVersion (řetězec) | Verze schématu zdokumentovaná zde je 0.1.1. |
| EventSchema | Povinné | String | Název schématu popsaného tady je DhcpEvent. |
| Pole Dvc | - | - | V případě událostí DHCP pole zařízení odkazují na systém, který hlásí událost DHCP. |
Všechna společná pole
Pole, která se zobrazují v tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další informace o jednotlivých polích najdete v článku o společných polích ASIM .
| Třída | Pole |
|---|---|
| Povinné |
-
EventCount - Čas začátku události - EventEndTime - Typ události - Výsledek události - EventProduct - EventVendor - EventSchema - EventSchemaVersion - DVC |
| Doporučené |
-
VýsledekUdálostPodrobnosti - Závažnost události - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Volitelné |
-
UdálostZpráva - EventSubType - UdálostOriginalUid - UdálostOriginální typ - UdálostOriginální Subtyp - UdálostPůvodníVýsledekDetaily - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole specifická pro protokol DHCP
| Pole | Třída | Typ | Poznámky |
|---|---|---|---|
| DhcpLeaseDuration | Volitelné | Celé číslo | Délka zapůjčení udělená klientovi v sekundách. |
| DhcpSessionId | Volitelné | řetězec | Identifikátor relace hlášený zařízením pro generování sestav. Pro server DHCP systému Windows nastavte pole TransactionID. Příklad: 2099570186 |
| Id relace | Alias | String | Alias pro DhcpSessionId |
| DhcpSessionDuration | Volitelné | Celé číslo | Doba dokončení relace DHCP v milisekundách. Příklad: 1500 |
| Doba trvání | Alias | Alias dhcpSessionDuration | |
| DhcpSrcDHCId | Volitelné | String | ID klienta DHCP definované RFC4701 |
| DhcpCircuitId | Volitelné | String | ID okruhu DHCP definované RFC3046 |
| DhcpSubscriberId | Volitelné | String | ID odběratele DHCP definované RFC3993 |
| DhcpVendorClassId | Volitelné | String | ID třídy dodavatele DHCP definované RFC3925. |
| DhcpVendorClass | Volitelné | String | Třída dodavatele DHCP definovaná RFC3925. |
| DhcpUserClassId | Volitelné | String | ID třídy uživatele DHCP definované RFC3004. |
| DhcpUserClass | Volitelné | String | Třída uživatele DHCP definovaná RFC3004. |
| RequestedIpAddr | Volitelné | IP adresa | IP adresa požadovaná klientem DHCP, pokud je k dispozici. Příklad: 192.168.12.3 |
Pole zdrojového systému
Zdrojový systém je ten, který žádá o pronájem DHCP
| Pole | Třída | Typ | Poznámky |
|---|---|---|---|
| Src | Alias | String | Jedinečný identifikátor zdrojového zařízení. Toto pole může aliasovat pole SrcDvcId, SrcHostname nebo SrcIpAddr . Příklad: 192.168.12.1 |
| SrcIpAddr | Povinné | IP adresa | IP adresa přiřazená klientovi serverem DHCP. Příklad: 192.168.12.1 |
| IpAddr | Alias | Alias pro SrcIpAddr | |
| SrcHostname | Povinné | Název hostitele (řetězec) | Název hostitele zařízení požadujícího zapůjčení DHCP. Pokud není k dispozici žádný název zařízení, uložte do tohoto pole příslušnou IP adresu. Příklad: DESKTOP-1282V4D |
| Název hostitele | Alias | Alias pro SrcHostname | |
| SrcDomain | Doporučené | Doména (řetězec) | Doména zdrojového zařízení. Příklad: Contoso |
| SrcDomainType | Podmíněné | Enumerated | Typ SrcDomain, pokud je znám. Možné hodnoty zahrnují: - Windows (například: contoso)- FQDN (například: microsoft.com)Vyžaduje se, pokud se používá doména SrcDomain . |
| SrcFQDN | Volitelné | FQDN (struna) | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud je k dispozici. Poznámka: Toto pole podporuje tradiční formát plně kvalifikovaného názvu domény i formát názvu hostitele windows. Pole SrcDomainType odráží použitý formát. Příklad: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Volitelné | String | ID zdrojového zařízení hlášené v záznamu. Příklad: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Volitelné | String | ID oboru cloudové platformy, do které zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcScope | Volitelné | String | Rozsah cloudové platformy, do které zařízení patří. SrcDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcIdType | Podmíněné | Enumerated | Typ SrcDvcId, pokud je známý. Možné hodnoty zahrnují: - AzureResourceId- MDEidPokud je k dispozici více ID, použijte první z výše uvedeného seznamu a uložte ostatní do SrcDvcAzureResourceId a SrcDvcMDDEid. Poznámka: Toto pole se vyžaduje, pokud se použije SrcDvcId . |
| SrcDeviceType | Volitelné | Enumerated | Typ zdrojového zařízení. Možné hodnoty zahrnují: - Computer- Mobile Device- IOT Device- Other |
| Popis SrcDescription | Volitelné | String | Popisný text přidružený k zařízení Například: Primary Domain Controller. |
| SrcGeoCountry | Volitelné | Country | Země nebo oblast přidružená ke zdrojové IP adrese. Příklad: USA |
| SrcGeoRegion | Volitelné | Región | Oblast přidružená ke zdrojové IP adrese. Příklad: Vermont |
| SrcGeoCity | Volitelné | City | Město přidružené ke zdrojové IP adrese. Příklad: Burlington |
| SrcGeoLatitude | Volitelné | Zeměpisná šířka | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 44.475833 |
| SrcGeoLongitude | Volitelné | Zeměpisná délka | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. Příklad: 73.211944 |
| SrcRiskLevel | Volitelné | Celé číslo | Úroveň rizika přidružená ke zdroji Hodnota by měla být upravena na rozsah 0100, s 0 neškodným a 100 vysokým rizikem.Příklad: 90 |
| SrcOriginalRiskLevel | Volitelné | String | Úroveň rizika přidružená ke zdroji, jak je hlášeno zařízením pro generování sestav. Příklad: Suspicious |
| SrcPortNumber | Volitelné | Celé číslo | Port IP, ze kterého připojení pochází. Nemusí být relevantní pro relaci, která obsahuje více připojení. Příklad: 2335 |
Pole zdrojového uživatele
| Pole | Třída | Typ | Poznámky |
|---|---|---|---|
| SrcUserId | Volitelné | String | Strojově čitelná alfanumerická, jedinečná reprezentace zdrojového uživatele. Další informace a alternativní pole pro další ID naleznete v tématu Entita Uživatel. Příklad: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Podmíněné | UserIdType | Typ ID uloženého v poli SrcUserId . Další informace a seznam povolených hodnot naleznete v části UserIdType v článku Přehled schématu. |
| SrcUsername | Volitelné | Uživatelské jméno (String) | Zdrojové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Další informace naleznete v tématu Entita Uživatel. Příklad: AlbertE |
| Uživatel | Alias | Alias pro SrcUsername | |
| SrcUsernameType | Podmíněné | UsernameType | Určuje typ uživatelského jména uloženého v poli SrcUsername . Další informace a seznam povolených hodnot naleznete v části UsernameType v článku Přehled schématu. Příklad: Windows |
| SrcUserType | Volitelné | Typ uživatele | Typ zdrojového uživatele. Další informace a seznam povolených hodnot naleznete v části UserType v článku Přehled schématu. Příklad: Guest |
| SrcOriginalUserType | Volitelné | String | Původní typ uživatele zdroje, pokud zdroj poskytuje. |
| SrcMacAddr | Povinné | Adresa Mac | Adresa MAC klienta požadujícího zapůjčení DHCP. Poznámka: Server DHCP systému Windows protokoluje adresu MAC nestandardním způsobem, vynechá se dvojtečky, které by měly být vloženy analyzátorem. Příklad: 06:10:9f:eb:8f:14 |
| SrcUserScope | Volitelné | String | Obor, například tenant Microsoft Entra, ve kterém jsou definovány SrcUserId a SrcUsername . nebo další informace a seznam povolených hodnot, viz UserScope v článku Přehled schématu. |
| SrcUserScopeId | Volitelné | String | ID oboru, například ID adresáře Microsoft Entra, ve kterém jsou definovány SrcUserId a SrcUsername . Další informace a seznam povolených hodnot naleznete v tématu UserScopeId v článku Přehled schématu. |
| SrcUserSessionId | Volitelné | String | Jedinečné ID přihlašovací relace objektu Actor. Příklad: 102pTUgC3p8RIqHvzxLCHnFlg |
Kontrolní pole
| Pole | Třída | Typ | Poznámky |
|---|---|---|---|
| Pravidlo | Alias | řetězec | Buď hodnota RuleName, nebo hodnota RuleNumber. Pokud se použije hodnota RuleNumber, typ by měl být převeden na řetězec. |
| RuleNumber | Volitelné | int | Číslo pravidla přidruženého k upozornění. např. 123456 |
| RuleName | Volitelné | řetězec | Název nebo ID pravidla přidruženého k upozornění. např. Server PSEXEC Execution via Remote Access |
| ThreatId | Volitelné | řetězec | ID hrozby nebo malwaru zjištěného v upozornění. např. 1234567891011121314 |
| ThreatCategory | Volitelné | String | Kategorie hrozby nebo malwaru zjištěného v upozornění. Podporované hodnoty jsou: Malware, Ransomware, , TrojanVirusWormAdwareSpywareRootkit, Cryptominor, PhishingSpam, MaliciousUrl, , Spoofing, , Security Policy ViolationUnknown |
| ThreatName | Volitelné | řetězec | Název hrozby nebo malwaru zjištěného v upozornění. např. Init.exe |
| ThreatConfidence | Volitelné | ConfidenceLevel (celé číslo) | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatOriginalConfidence | Volitelné | řetězec | Úroveň spolehlivosti hlášená původním systémem. |
| ThreatRiskLevel | Volitelné | RizikLevel (celočíselné) | Úroveň rizika spojená s hrozbou. Úroveň by měla být číslo od 0 do 100. Poznámka: Hodnota může být ve zdrojovém záznamu poskytována pomocí jiného měřítka, které by se mělo normalizovat na toto měřítko. Původní hodnota by měla být uložena v ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Volitelné | řetězec | Úroveň rizika hlášená systémem původu. |
| ThreatIsActive | Volitelné | Booleova hodnota | Určuje, jestli je hrozba aktuálně aktivní. Podporované hodnoty jsou: True, False |
| ThreatFirstReportedTime | Volitelné | Datum a čas | Datum a čas prvního nahlášení hrozby např. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Volitelné | Datum a čas | Datum a čas posledního nahlášení hrozby např. 2024-09-19T10:12:10.0000000Z |
Aktualizace schématu
Následující jsou změny ve verzi 0.1.1 schématu:
- Přidány kontrolní pole.
- Přidány pole geolokace zdroje.
- Přidala jsem zdrojová pole:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,,SrcPortNumberSrcRiskLevel, ,SrcUserScope,SrcUserScopeIdSrcUserSessionId``SrcUserUid - Přidány aliasy
SrcaUser - Pole
SrcUserUidaThreatFieldjsou dostupná v tabulceASimDhcpEventLogs, ale nejsou součástí schématu.
Další kroky
Další informace naleznete v tématu: