Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das DHCP-Informationsmodell wird zum Beschreiben von Ereignissen verwendet, die von einem DHCP-Server gemeldet werden, und wird von Microsoft Sentinel verwendet, um quellunabhängige Analysen zu ermöglichen.
Weitere Informationen finden Sie unter Normalization and the Advanced Security Information Model (ASIM).
Parser
Weitere Informationen zu ASIM-Parsern finden Sie in der Übersicht über ASIM-Parser.
Filtern von Parserparametern
Die DHCP-Parser unterstützen das Filtern von Parametern. Diese Parameter sind zwar optional, können aber die Abfrageleistung verbessern.
Die folgenden Filterparameter sind verfügbar:
| Name | Typ | Beschreibung |
|---|---|---|
| starttime | Datum/Uhrzeit | Filtern Sie nur DHCP-Ereignisse, die zu oder nach diesem Zeitpunkt aufgetreten sind. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| endtime | Datum/Uhrzeit | Filtern Sie nur DHCP-Ereignisse, die zu oder vor diesem Zeitpunkt aufgetreten sind. Dieser Parameter filtert nach dem TimeGenerated Feld, das der Standardbezeichner für den Zeitpunkt des Ereignisses ist, unabhängig von der parserspezifischen Zuordnung der Felder EventStartTime und EventEndTime. |
| srcipaddr_has_any_prefix | Dynamische | Filtern Sie nur DHCP-Ereignisse, bei denen das Quell-IP-Adresspräfix mit einem der aufgeführten Werte übereinstimmt. Präfixe sollten mit einem .enden, z. B. . 10.0. |
| srchostname_has_any | Dynamische | Filtern Sie nur DHCP-Ereignisse, bei denen der Quellhostname über einen der aufgeführten Werte verfügt. |
| srcusername_has_any | Dynamische | Filtern Sie nur DHCP-Ereignisse, bei denen der Quellbenutzername über einen der aufgeführten Werte verfügt. |
| eventresult | string | Filtern Sie nur DHCP-Ereignisse mit einem bestimmten Ereignisergebnis. Verwenden Sie * , um alle Ergebnisse einzuschließen. |
Um beispielsweise nur DHCP-Ereignisse aus einem bestimmten IP-Adressbereich am letzten Tag zu filtern, verwenden Sie Folgendes:
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
Schemaübersicht
Das ASIM-DHCP-Schema stellt die DHCP-Serveraktivität dar, einschließlich der Bereitstellung von Anforderungen für DHCP-IP-Adressen, die von Clientsystemen geleast wurden, und das Aktualisieren eines DNS-Servers mit den gewährten Leases.
Die wichtigsten Felder in einem DHCP-Ereignis sind SrcIpAddr und SrcHostname, die der DHCP-Server durch Gewähren der Lease bindet und die jeweils durch die Felder IpAddr und Hostname als Alias verwendet werden. Das Feld SrcMacAddr ist ebenfalls wichtig, da es den Clientcomputer darstellt, der verwendet wird, wenn eine IP-Adresse nicht geleast wird.
Ein DHCP-Server kann einen Client ablehnen, entweder aufgrund von Sicherheitsbedenken oder aufgrund einer Netzwerkauslastung. Es kann auch einen Client unter Quarantäne stellen, indem er eine IP-Adresse an ihn vermietet, die ihn mit einem eingeschränkten Netzwerk verbinden würde. Die Felder EventResult, EventResultDetails und DvcAction enthalten Informationen zur Antwort und Aktion des DHCP-Servers.
Die Dauer einer Lease wird im Feld DhcpLeaseDuration gespeichert.
Schemadetails
ASIM ist am OsSEM-Projekt (Open Source Security Events Metadata) ausgerichtet.
OSSEM verfügt nicht über ein DHCP-Schema, das mit dem ASIM-DHCP-Schema vergleichbar ist.
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine Felder für ASIM ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste sind Felder aufgeführt, die bestimmte Richtlinien für DHCP-Ereignisse aufweisen:
| Field | Class | Type | Beschreibung |
|---|---|---|---|
| EventType | Erforderlich | Aufgelistet | Geben Sie den vom Datensatz gemeldeten Vorgang an. Mögliche Werte sind Assign, Renew, Releaseund DNS Update. Beispiel: Assign |
| EventSchemaVersion | Erforderlich | SchemaVersion (Zeichenfolge) | Die Hier dokumentierte Version des Schemas ist 0.1.1. |
| EventSchema | Erforderlich | Zeichenfolge | Der Name des Schemas, das hier dokumentiert ist DhcpEvent. |
| Dvc-Felder | - | - | Bei DHCP-Ereignissen verweisen Gerätefelder auf das System, das das DHCP-Ereignis meldet. |
Alle gemeinsamen Felder
Felder, die in der Tabelle angezeigt werden, sind für alle ASIM-Schemas gemeinsam. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel ALLGEMEINE ASIM-Felder .
| Class | Fields |
|---|---|
| Erforderlich |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Empfohlen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
DHCP-spezifische Felder
| Field | Class | Type | Hinweise |
|---|---|---|---|
| DhcpLeaseDuration | Optional | Integer | Die Länge der einem Client gewährten Lease in Sekunden. |
| DhcpSessionId | Optional | string | Der Sitzungsbezeichner, der vom Melden des Geräts gemeldet wird. Legen Sie für den Windows-DHCP-Server dies auf das Feld TransactionID fest. Beispiel: 2099570186 |
| Sessionid | Alias | Zeichenfolge | Alias für DhcpSessionId |
| DhcpSessionDuration | Optional | Integer | Die Zeitspanne in Millisekunden für den Abschluss der DHCP-Sitzung. Beispiel: 1500 |
| Duration | Alias | Alias für DhcpSessionDuration | |
| DhcpSrcDHCId | Optional | Zeichenfolge | Die DHCP-Client-ID, wie durch RFC4701 definiert |
| DhcpCircuitId | Optional | Zeichenfolge | Die DHCP-Leitungs-ID, wie von RFC3046 definiert |
| DhcpSubscriberId | Optional | Zeichenfolge | Die DHCP-Abonnenten-ID, wie von RFC3993 definiert |
| DhcpVendorClassId | Optional | Zeichenfolge | Die DHCP-Anbieterklassen-ID, wie von RFC3925 definiert. |
| DhcpVendorClass | Optional | Zeichenfolge | Die DHCP-Anbieterklasse, wie von RFC3925 definiert. |
| DhcpUserClassId | Optional | Zeichenfolge | Die DHCP-Benutzerklassen-ID, wie von RFC3004 definiert. |
| DhcpUserClass | Optional | Zeichenfolge | Die DHCP-Benutzerklasse, wie von RFC3004 definiert. |
| RequestedIpAddr | Optional | IP-Adresse | Die vom DHCP-Client angeforderte IP-Adresse, sofern verfügbar. Beispiel: 192.168.12.3 |
Quellsystemfelder
Das Quellsystem ist das System, das eine DHCP-Lease anfordert.
| Field | Class | Type | Hinweise |
|---|---|---|---|
| Src | Alias | Zeichenfolge | Ein eindeutiger Bezeichner des Quellgeräts. Dieses Feld kann ein Alias für die Felder SrcDvcId, SrcHostname oder SrcIpAddr sein. Beispiel: 192.168.12.1 |
| SrcIpAddr | Erforderlich | IP-Adresse | Die DEM Client vom DHCP-Server zugewiesene IP-Adresse. Beispiel: 192.168.12.1 |
| IpAddr | Alias | Alias für SrcIpAddr | |
| SrcHostname | Erforderlich | Hostname (Zeichenfolge) | Der Hostname des Geräts, das die DHCP-Lease anfordert. Wenn kein Gerätename verfügbar ist, speichern Sie die relevante IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
| Hostname | Alias | Alias für SrcHostname | |
| SrcDomain | Empfohlen | Domäne (Zeichenfolge) | Die Domäne des Quellgeräts. Beispiel: Contoso |
| SrcDomainType | Bedingte | Aufgelistet | Der Typ von SrcDomain, sofern bekannt. Mögliche Werte sind: - Windows (z. B.: contoso)- FQDN (z. B.: microsoft.com)Erforderlich, wenn SrcDomain verwendet wird. |
| SrcFQDN | Optional | FQDN (Zeichenfolge) | Der Hostname des Quellgeräts, einschließlich Domäneninformationen, sofern verfügbar. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format Domäne\Hostname. Das Feld SrcDomainType gibt das verwendete Format an. Beispiel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Optional | Zeichenfolge | Die ID des Quellgeräts, wie im Datensatz gemeldet. Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optional | Zeichenfolge | Die Bereichs-ID der Cloudplattform, zu der das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcScope | Optional | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScope wird einer Abonnement-ID auf Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcIdType | Bedingte | Aufgelistet | Der Typ von SrcDvcId, sofern bekannt. Mögliche Werte sind: - AzureResourceId- MDEidWenn mehrere IDs verfügbar sind, verwenden Sie die erste aus der obigen Liste, und speichern Sie die anderen in SrcDvcAzureResourceId bzw . SrcDvcMDEid. Hinweis: Dieses Feld ist erforderlich, wenn SrcDvcId verwendet wird. |
| SrcDeviceType | Optional | Aufgelistet | Der Typ des Quellgeräts. Mögliche Werte sind: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Optional | Zeichenfolge | Ein beschreibender Text, der dem Gerät zugeordnet ist. Beispiel: Primary Domain Controller. |
| SrcGeoCountry | Optional | Land | Das Land/die Region, das der Quell-IP-Adresse zugeordnet ist. Beispiel: USA |
| SrcGeoRegion | Optional | Region | Die Region, die der Quell-IP-Adresse zugeordnet ist. Beispiel: Vermont |
| SrcGeoCity | Optional | Stadt/Ort | Der Ort, der der Quell-IP-Adresse zugeordnet ist. Beispiel: Burlington |
| SrcGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
| SrcGeoLongitude | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
| SrcRiskLevel | Optional | Integer | Die der Quelle zugeordnete Risikostufe. Der Wert sollte auf einen Bereich von 0100bis angepasst werden, mit 0 für gutartig und 100 für ein hohes Risiko.Beispiel: 90 |
| SrcOriginalRiskLevel | Optional | Zeichenfolge | Die risikobehaftete Ebene, die der Quelle zugeordnet ist, wie vom Melden des Geräts gemeldet. Beispiel: Suspicious |
| SrcPortNumber | Optional | Integer | Der IP-Port, von dem die Verbindung stammt. Für eine Sitzung, die mehrere Verbindungen umfasst, ist möglicherweise nicht relevant. Beispiel: 2335 |
Quellbenutzerfelder
| Field | Class | Type | Hinweise |
|---|---|---|---|
| SrcUserId | Optional | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Quellbenutzers. Weitere Informationen und alternative Felder für zusätzliche IDs finden Sie unter Die Entität User. Beispiel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Bedingte | UserIdType | Der Typ der ID, die im Feld SrcUserId gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel Schemaübersicht. |
| SrcUsername | Optional | Benutzername (Zeichenfolge) | Der Quellbenutzername, einschließlich Domäneninformationen, sofern verfügbar. Weitere Informationen finden Sie unter Die Entität User. Beispiel: AlbertE |
| Benutzer | Alias | Alias für SrcUsername | |
| SrcUsernameType | Bedingte | UsernameType | Gibt den Typ des Benutzernamens an, der im Feld SrcUsername gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel Schemaübersicht. Beispiel: Windows |
| SrcUserType | Optional | UserType | Der Typ des Quellbenutzers. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel Schemaübersicht. Beispiel: Guest |
| SrcOriginalUserType | Optional | Zeichenfolge | Der ursprüngliche Quellbenutzertyp, wenn er von der Quelle bereitgestellt wird. |
| SrcMacAddr | Erforderlich | Mac-Adresse | Die MAC-Adresse des Clients, der eine DHCP-Lease anfordert. Hinweis: Der Windows-DHCP-Server protokolliert die MAC-Adresse auf nicht standardmäßige Weise, wobei die Doppelpunkte weggelassen werden, die vom Parser eingefügt werden sollten. Beispiel: 06:10:9f:eb:8f:14 |
| SrcUserScope | Optional | Zeichenfolge | Der Bereich, z. B. Microsoft Entra Mandant, in dem SrcUserId und SrcUsername definiert sind. oder weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| SrcUserScopeId | Optional | Zeichenfolge | Die Bereichs-ID, z. B. Microsoft Entra Verzeichnis-ID, in der SrcUserId und SrcUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| SrcUserSessionId | Optional | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Actors. Beispiel: 102pTUgC3p8RIqHvzxLCHnFlg |
Inspektionsfelder
| Field | Class | Type | Hinweise |
|---|---|---|---|
| Rule | Alias | string | Entweder der Wert von RuleName oder der Wert von RuleNumber. Wenn der Wert von RuleNumber verwendet wird, sollte der Typ in eine Zeichenfolge konvertiert werden. |
| RuleNumber | Optional | int | Die Nummer der Regel, die der Warnung zugeordnet ist. E.g. 123456 |
| RuleName | Optional | string | Der Name oder die ID der Regel, die der Warnung zugeordnet ist. E.g. Server PSEXEC Execution via Remote Access |
| ThreatId | Optional | string | Die ID der bedrohungs- oder schadsoftware, die in der Warnung identifiziert wurde. E.g. 1234567891011121314 |
| Bedrohungskategorie | Optional | Zeichenfolge | Die Kategorie der Bedrohung oder Schadsoftware, die in der Warnung identifiziert wird. Unterstützte Werte sind: Malware, Ransomware, Trojan, Virus, Worm, , Adware, RootkitSpyware, Cryptominor, Phishing, Spam, MaliciousUrl, Spoofing, , Security Policy ViolationUnknown |
| ThreatName | Optional | string | Der Name der Bedrohung oder Schadsoftware, die in der Warnung identifiziert wurde. E.g. Init.exe |
| ThreatConfidence | Optional | ConfidenceLevel (Integer) | Das Konfidenzniveau der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100. |
| ThreatOriginalConfidence | Optional | string | Das vom Ursprungssystem gemeldete Konfidenzniveau. |
| ThreatRiskLevel | Optional | RiskLevel (Integer) | Die Risikostufe, die der Bedrohung zugeordnet ist. Die Ebene sollte eine Zahl zwischen 0 und 100 sein. Hinweis: Der Wert kann im Quelldatensatz mithilfe einer anderen Skalierung bereitgestellt werden, die auf diese Skalierung normalisiert werden sollte. Der ursprüngliche Wert sollte in ThreatRiskLevelOriginal gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | string | Die vom Ursprungssystem gemeldete Risikostufe. |
| ThreatIsActive | Optional | bool | Gibt an, ob die Bedrohung derzeit aktiv ist. Unterstützte Werte sind: True, False |
| ThreatFirstReportedTime | Optional | Datum/Uhrzeit | Datum und Uhrzeit, zu dem die Bedrohung zum ersten Mal gemeldet wurde. E.g. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Optional | Datum/Uhrzeit | Datum und Uhrzeit, zu dem die Bedrohung zuletzt gemeldet wurde. E.g. 2024-09-19T10:12:10.0000000Z |
Schemaaktualisierungen
Im Folgenden sind die Änderungen in Version 0.1.1 des Schemas aufgeführt:
- Inspektionsfelder hinzugefügt.
- Die Felder für den geografischen Quellstandort wurden hinzugefügt.
- Die Quellfelder wurden hinzugefügt:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,SrcRiskLevelSrcPortNumber, ,SrcUserScope,SrcUserScopeIdSrcUserSessionId``SrcUserUid - Die Aliase
Srcund wurden hinzugefügt.User - Die Felder
SrcUserUidundThreatFieldsind in derASimDhcpEventLogsTabelle verfügbar, sind aber nicht Teil des Schemas.
Nächste Schritte
Weitere Informationen finden Sie unter:
- Sehen Sie sich das ASIM-Webinar an, oder überprüfen Sie die Folien
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- ASIM-Parser (Advanced Security Information Model)
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)