Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
DHCP-oplysningsmodellen bruges til at beskrive hændelser, der rapporteres af en DHCP-server, og bruges af Microsoft Sentinel til at aktivere kildeagnostiske analyser.
Du kan få flere oplysninger under Normalisering og ASIM (Advanced Security Information Model).
Parsere
Du kan finde flere oplysninger om ASIM-fortolkninger i oversigten over ASIM-fortolkninger.
Filtreringsparserparametre
DHCP-fortolkerne understøtter filtreringsparametre. Selvom disse parametre er valgfrie, kan de forbedre ydeevnen af din forespørgsel.
Følgende filtreringsparametre er tilgængelige:
| Navn | Type | Beskrivelse |
|---|---|---|
| Starttidspunkt | Datetime | Filtrer kun DHCP-hændelser, der opstod på eller efter dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| slutklokkeslæt | Datetime | Filtrer kun DHCP-hændelser, der opstod på eller før dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrer kun DHCP-hændelser, hvor kilde-IP-adressepræfikset svarer til en af de angivne værdier. Præfikser skal slutte med en ., f.eks.: 10.0.. |
| srchostname_has_any | Dynamisk | Filtrer kun DHCP-hændelser, hvor kildeværtsnavnet har nogen af de angivne værdier. |
| srcusername_has_any | Dynamisk | Filtrer kun DHCP-hændelser, hvor kildebrugernavnet har nogen af de angivne værdier. |
| eventresult | Streng | Filtrer kun DHCP-hændelser med et bestemt hændelsesresultat. Bruges * til at inkludere alle resultater. |
Hvis du f.eks. kun vil filtrere DHCP-hændelser fra et bestemt IP-adresseinterval den sidste dag, skal du bruge:
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
Skemaoversigt
ASIM DHCP-skemaet repræsenterer DHCP-serveraktivitet, herunder betjener anmodninger om DHCP IP-adresse, der er lejet fra klientsystemer, og opdatering af en DNS-server med de tildelte leasingkontrakter.
De vigtigste felter i en DHCP-hændelse er SrcIpAddr og SrcHostname, som DHCP-serveren binder ved at tildele leasingaftalen, og som er aliasset af felterne IpAddr og Hostname . Feltet SrcMacAddr er også vigtigt, da det repræsenterer den klientcomputer, der bruges, når en IP-adresse ikke er lejet.
En DHCP-server kan afvise en klient, enten på grund af sikkerhedsbekymringer eller på grund af netværksmætning. Det kan også sætte en klient i karantæne ved at leasing til den en IP-adresse, der ville forbinde den til et begrænset netværk. Felterne EventResult, EventResultDetails og DvcAction indeholder oplysninger om DHCP-serverens svar og handling.
Varigheden af en leasingkontrakt gemmes i feltet DhcpLeaseDuration .
Skemadetaljer
ASIM er justeret i forhold til OSSEM-projektet (Open Source Security Events Metadata).
OSSEM har ikke et DHCP-skema, der kan sammenlignes med ASIM DHCP-skemaet.
Almindelige ASIM-felter
Vigtigt!
Felter, der er fælles for alle skemaer, er beskrevet detaljeret i artiklen Almindelige ASIM-felter .
Fælles felter med specifikke retningslinjer
Følgende liste omtaler felter, der har specifikke retningslinjer for DHCP-hændelser:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| EventType | Obligatorisk | Optalt | Angiv den handling, der er rapporteret af posten. De mulige værdier er Assign, Renew, Releaseog DNS Update. Eksempel: Assign |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Den version af skemaet, der er dokumenteret her er 0.1.1. |
| EventSchema | Obligatorisk | String | Navnet på skemaet, der er dokumenteret her er DhcpEvent. |
| Dvc-felter | - | - | I forbindelse med DHCP-hændelser henviser enhedsfelter til det system, der rapporterer DHCP-hændelsen. |
Alle almindelige felter
Felter, der vises i tabellen, er fælles for alle ASIM-skemaer. Alle retningslinjer, der er angivet ovenfor, tilsidesætter de generelle retningslinjer for feltet. Et felt kan f.eks. være valgfrit generelt, men obligatorisk for et bestemt skema. Du kan få flere oplysninger om hvert felt i artiklen Almindelige ASIM-felter .
| Klasse | Felter |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalede |
-
EventResultDetails - EventSeverity - Hændelses-UID - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfrit |
-
Hændelsesmeddelelse - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Hændelsesejer - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
DHCP-specifikke felter
| Feltet | Klasse | Type | Bemærkninger |
|---|---|---|---|
| DhcpLeaseDuration | Valgfrit | Heltal | Lejekontraktens længde i sekunder til en klient. |
| DhcpSessionId | Valgfrit | Streng | Sessions-id'et som rapporteret af rapporteringsenheden. For Windows DHCP-serveren skal du angive dette til feltet TransactionID. Eksempel: 2099570186 |
| Sessionid | Alias | String | Alias til DhcpSessionId |
| DhcpSessionDuration | Valgfrit | Heltal | Den tid i millisekunder, der er brugt til fuldførelse af DHCP-sessionen. Eksempel: 1500 |
| Varighed | Alias | Alias til DhcpSessionDuration | |
| DhcpSrcDHCId | Valgfrit | String | DHCP-klient-id'et, som defineret af RFC4701 |
| DhcpCircuitId | Valgfrit | String | DHCP-kredsløbs-id'et, som defineret af RFC3046 |
| DhcpSubscriberId | Valgfrit | String | DHCP-abonnent-id'et, som defineret af RFC3993 |
| DhcpVendorClassId | Valgfrit | String | DHCP Vendor Class Id, som defineret af RFC3925. |
| DhcpVendorClass | Valgfrit | String | DHCP-leverandørklassen, som defineret af RFC3925. |
| DhcpUserClassId | Valgfrit | String | DHCP-brugerklasse-id'et, som defineret af RFC3004. |
| DhcpUserClass | Valgfrit | String | DHCP-brugerklassen, som defineret af RFC3004. |
| RequestedIpAddr | Valgfrit | IP-adresse | Den IP-adresse, der anmodes om af DHCP-klienten, når den er tilgængelig. Eksempel: 192.168.12.3 |
Kildesystemfelter
Kildesystemet er det system, der anmoder om en DHCP-leasingkontrakt
| Feltet | Klasse | Type | Bemærkninger |
|---|---|---|---|
| Src | Alias | String | Et entydigt id for kildeenheden. Dette felt kan aliassere felterne SrcDvcId, SrcHostname eller SrcIpAddr . Eksempel: 192.168.12.1 |
| SrcIpAddr | Obligatorisk | IP-adresse | Den IP-adresse, der er tildelt klienten af DHCP-serveren. Eksempel: 192.168.12.1 |
| IpAddr | Alias | Alias for SrcIpAddr | |
| SrcHostname | Obligatorisk | Værtsnavn (streng) | Værtsnavnet på den enhed, der anmoder om DHCP-leasingaftalen. Hvis der ikke er noget tilgængeligt enhedsnavn, skal du gemme den relevante IP-adresse i dette felt. Eksempel: DESKTOP-1282V4D |
| Værtsnavn | Alias | Alias for SrcHostname | |
| SrcDomain | Anbefalede | Domæne (streng) | Kildeenhedens domæne. Eksempel: Contoso |
| SrcDomainType | Betinget | Optalt | Typen af SrcDomain, hvis den kendes. Mulige værdier omfatter: - Windows (f.eks.: contoso)- FQDN (f.eks.: microsoft.com)Obligatorisk, hvis SrcDomain bruges. |
| SrcFQDN | Valgfrit | FQDN (streng) | Kildeenhedens værtsnavn, herunder domæneoplysninger, når de er tilgængelige. Bemærk! Dette felt understøtter både traditionelt FQDN-format og Windows-domæne\værtsnavnformat. Feltet SrcDomainType afspejler det anvendte format. Eksempel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Valgfrit | String | Id'et for kildeenheden som rapporteret i posten. For eksempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valgfrit | String | Det område-id for cloudplatformen, som enheden tilhører. SrcDvcScopeId knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| SrcDvcScope | Valgfrit | String | Det cloudplatformsområde, som enheden tilhører. SrcDvcScope knyttes til et abonnements-id på Azure og til et konto-id på AWS. |
| SrcDvcIdType | Betinget | Optalt | Typen af SrcDvcId, hvis den er kendt. Mulige værdier omfatter: - AzureResourceId- MDEidHvis der er flere id'er tilgængelige, skal du bruge den første fra listen ovenfor og gemme de andre i henholdsvis SrcDvcAzureResourceId og SrcDvcMDEid. Bemærk! Dette felt er obligatorisk, hvis der bruges SrcDvcId . |
| SrcDeviceType | Valgfrit | Optalt | Kildeenhedens type. Mulige værdier omfatter: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Valgfrit | String | En beskrivende tekst, der er knyttet til enheden. For eksempel: Primary Domain Controller. |
| SrcGeoCountry | Valgfrit | Land | Det land/område, der er knyttet til kildens IP-adresse. Eksempel: USA |
| SrcGeoRegion | Valgfrit | Region | Det område, der er knyttet til kildens IP-adresse. Eksempel: Vermont |
| SrcGeoCity | Valgfrit | Byen | Den by, der er knyttet til kildens IP-adresse. Eksempel: Burlington |
| SrcGeoLatitude | Valgfrit | Breddegrad | Breddegraden for den geografiske koordinat, der er knyttet til kildens IP-adresse. Eksempel: 44.475833 |
| SrcGeoLongitude | Valgfrit | Længdegrad | Længdegraden for den geografiske koordinat, der er knyttet til kildens IP-adresse. Eksempel: 73.211944 |
| SrcRiskLevel | Valgfrit | Heltal | Det risikoniveau, der er knyttet til kilden. Værdien skal justeres til et interval af 0 typen , med 0 for godartet og 100 for 100en høj risiko.Eksempel: 90 |
| SrcOriginalRiskLevel | Valgfrit | String | Det risikoniveau, der er knyttet til kilden, som rapporteret af rapporteringsenheden. Eksempel: Suspicious |
| SrcPortNumber | Valgfrit | Heltal | Den IP-port, som forbindelsen stammer fra. Er muligvis ikke relevant for en session, der består af flere forbindelser. Eksempel: 2335 |
Kildebrugerfelter
| Feltet | Klasse | Type | Bemærkninger |
|---|---|---|---|
| SrcUserId | Valgfrit | String | En computerlæsbar, alfanumerisk, entydig repræsentation af kildebrugeren. Du kan finde flere oplysninger og alternative felter til yderligere id'er i Objektet Bruger. Eksempel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Betinget | UserIdType | Typen af det id, der er gemt i feltet SrcUserId . Du kan få flere oplysninger og en liste over tilladte værdier i UserIdType i artiklen Skemaoversigt. |
| SrcUsername | Valgfrit | Brugernavn (streng) | Kildebrugernavnet, herunder domæneoplysninger, når de er tilgængelige. Du kan få flere oplysninger under Brugerens objekt. Eksempel: AlbertE |
| Bruger | Alias | Alias for SrcUsername | |
| SrcUsernameType | Betinget | UsernameType | Angiver typen af det brugernavn, der er gemt i feltet SrcUsername . Du kan få flere oplysninger og en liste over tilladte værdier i UsernameType i artiklen Skemaoversigt. Eksempel: Windows |
| SrcUserType | Valgfrit | UserType | Kildebrugerens type. Du kan få flere oplysninger og en liste over tilladte værdier i UserType i artiklen Skemaoversigt. For eksempel: Guest |
| SrcOriginalUserType | Valgfrit | String | Den oprindelige kildebrugertype, hvis den er angivet af kilden. |
| SrcMacAddr | Obligatorisk | Mac-adresse | MAC-adressen på den klient, der anmoder om en DHCP-leasingkontrakt. Bemærk! Windows DHCP-serveren logfører MAC-adressen på en måde, der ikke er standard, og udelader kolon, som skal indsættes af fortolkeren. Eksempel: 06:10:9f:eb:8f:14 |
| SrcUserScope | Valgfrit | String | Det område, f.eks. Microsoft Entra lejer, hvor SrcUserId og SrcUsername er defineret. eller flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt. |
| SrcUserScopeId | Valgfrit | String | Område-id'et, f.eks. Microsoft Entra mappe-id, hvor SrcUserId og SrcUsername er defineret. Du kan få flere oplysninger og en liste over tilladte værdier i UserScopeId i artiklen Skemaoversigt. |
| SrcUserSessionId | Valgfrit | String | Det entydige id for logonsessionen for agenten. Eksempel: 102pTUgC3p8RIqHvzxLCHnFlg |
Kontrolfelter
| Feltet | Klasse | Type | Bemærkninger |
|---|---|---|---|
| Regel | Alias | Streng | Enten værdien af RuleName eller værdien af RuleNumber. Hvis værdien af RuleNumber bruges, skal typen konverteres til en streng. |
| Regelnummer | Valgfrit | Int | Nummeret på den regel, der er knyttet til beskeden. F.eks. 123456 |
| RuleName | Valgfrit | Streng | Navnet eller id'et for den regel, der er knyttet til beskeden. F.eks. Server PSEXEC Execution via Remote Access |
| ThreatId | Valgfrit | Streng | Id'et for den trussel eller malware, der er identificeret i beskeden. F.eks. 1234567891011121314 |
| ThreatCategory | Valgfrit | String | Kategorien af den trussel eller malware, der er identificeret i beskeden. Understøttede værdier er: Malware, Ransomware, Trojan, Virus, Worm, AdwareSpyware, Rootkit, Cryptominor, , Phishing, Spam, MaliciousUrl, Spoofing, , Security Policy ViolationUnknown |
| ThreatName | Valgfrit | Streng | Navnet på den trussel eller malware, der er identificeret i beskeden. F.eks. Init.exe |
| ThreatConfidence | Valgfrit | ConfidenceLevel (heltal) | Konfidensniveauet for den identificerede trussel normaliserede sig til en værdi mellem 0 og 100. |
| ThreatOriginalConfidence | Valgfrit | Streng | Konfidensniveauet som rapporteret af det oprindelige system. |
| ThreatRiskLevel | Valgfrit | RiskLevel (heltal) | Det risikoniveau, der er forbundet med truslen. Niveauet skal være et tal mellem 0 og 100. Bemærk! Værdien kan angives i kildeposten ved hjælp af en anden skala, som skal normaliseres til denne skala. Den oprindelige værdi skal gemmes i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valgfrit | Streng | Risikoniveauet som rapporteret af det oprindelige system. |
| ThreatIsActive | Valgfrit | Bool | Angiver, om truslen er aktiv i øjeblikket. Understøttede værdier er: True, False |
| ThreatFirstReportedTime | Valgfrit | Dato/klokkeslæt | Dato og klokkeslæt for første gang, hvor truslen blev rapporteret. F.eks. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Valgfrit | Dato/klokkeslæt | Dato og klokkeslæt for seneste rapporteret trussel. F.eks. 2024-09-19T10:12:10.0000000Z |
Skemaopdateringer
Følgende er ændringerne i version 0.1.1 af skemaet:
- Tilføjede kontrolfelter.
- Tilføjede kildefelterne for geografisk placering.
- Kildefelterne er tilføjet:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,SrcRiskLevelSrcPortNumber,SrcUserScope, ,SrcUserScopeIdSrcUserSessionId``SrcUserUid - Tilføjede aliasserne
SrcogUser -
SrcUserUidFelterne ogThreatFielder tilgængelige i tabellen,ASimDhcpEventLogsmen er ikke en del af skemaet.
Næste trin
Du kan finde flere oplysninger under: