Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El modelo de información DHCP se usa para describir los eventos notificados por un servidor DHCP y lo usa Microsoft Sentinel para habilitar el análisis independiente del origen.
Para obtener más información, vea Normalización y el modelo de información de seguridad avanzada (ASIM).
Analizadores
Para obtener más información sobre los analizadores de ASIM, consulte la introducción a los analizadores de ASIM.
Filtrado de parámetros del analizador
Los analizadores DHCP admiten parámetros de filtrado. Aunque estos parámetros son opcionales, pueden mejorar el rendimiento de las consultas.
Están disponibles los siguientes parámetros de filtrado:
| Nombre | Tipo | Description |
|---|---|---|
| starttime | datetime | Filtre solo los eventos DHCP que se produjeron en o después de este momento. Este parámetro filtra en el TimeGenerated campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime. |
| endtime | datetime | Filtre solo los eventos DHCP que se produjeron en o antes de este momento. Este parámetro filtra en el TimeGenerated campo, que es el designador estándar para la hora del evento, independientemente de la asignación específica del analizador de los campos EventStartTime y EventEndTime. |
| srcipaddr_has_any_prefix | dinámico | Filtre solo los eventos DHCP en los que el prefijo de dirección IP de origen coincida con cualquiera de los valores enumerados. Los prefijos deben terminar con , .por ejemplo: 10.0.. |
| srchostname_has_any | dinámico | Filtre solo los eventos DHCP en los que el nombre de host de origen tenga cualquiera de los valores enumerados. |
| srcusername_has_any | dinámico | Filtre solo los eventos DHCP en los que el nombre de usuario de origen tenga cualquiera de los valores enumerados. |
| eventresult | string | Filtre solo los eventos DHCP con un resultado de evento específico. Use * para incluir todos los resultados. |
Por ejemplo, para filtrar solo los eventos DHCP de un intervalo de direcciones IP específico en el último día, use:
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
Introducción al esquema
El esquema DHCP de ASIM representa la actividad del servidor DHCP, incluidas las solicitudes de servicio para la dirección IP DHCP concesionada de los sistemas cliente y la actualización de un servidor DNS con las concesiones concedidas.
Los campos más importantes de un evento DHCP son SrcIpAddr y SrcHostname, que el servidor DHCP enlaza al conceder la concesión, y tienen alias en los campos IpAddr y Hostname , respectivamente. El campo SrcMacAddr también es importante, ya que representa la máquina cliente que se usa cuando no se concede una dirección IP.
Un servidor DHCP puede rechazar un cliente, ya sea por motivos de seguridad o por saturación de red. También puede poner en cuarentena a un cliente mediante el arrendamiento de una dirección IP que lo conectaría a una red limitada. Los campos EventResult, EventResultDetails y DvcAction proporcionan información sobre la respuesta y la acción del servidor DHCP.
La duración de una concesión se almacena en el campo DhcpLeaseDuration .
Detalles del esquema
ASIM se alinea con el proyecto de metadatos de eventos de seguridad de código abierto (OSSEM).
OSSEM no tiene un esquema DHCP comparable al esquema DHCP de ASIM.
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen en detalle en el artículo Campos comunes de ASIM .
Campos comunes con directrices específicas
En la lista siguiente se mencionan los campos que tienen directrices específicas para eventos DHCP:
| Field | Class | Tipo | Descripción |
|---|---|---|---|
| EventType | Obligatorio | Enumerado | Indique la operación notificada por el registro. Los valores posibles son Assign, Renew, Releasey DNS Update. Ejemplo: Assign |
| EventSchemaVersion | Obligatorio | SchemaVersion (String) | La versión del esquema documentada aquí es 0.1.1. |
| EventSchema | Obligatorio | Cadena | El nombre del esquema documentado aquí es DhcpEvent. |
| Campos Dvc | - | - | En el caso de los eventos DHCP, los campos de dispositivo hacen referencia al sistema que notifica el evento DHCP. |
Todos los campos comunes
Los campos que aparecen en la tabla son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo puede ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el artículo Campos comunes de ASIM .
| Class | Fields |
|---|---|
| Obligatorio |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campos específicos de DHCP
| Field | Class | Tipo | Notas |
|---|---|---|---|
| DhcpLeaseDuration | Opcional | Entero | Longitud de la concesión concedida a un cliente, en segundos. |
| DhcpSessionId | Opcional | string | Identificador de sesión notificado por el dispositivo de informes. Para el servidor DHCP de Windows, establézcalo en el campo TransactionID. Ejemplo: 2099570186 |
| SessionId | Alias | Cadena | Alias a DhcpSessionId |
| DhcpSessionDuration | Opcional | Entero | Cantidad de tiempo, en milisegundos, para la finalización de la sesión DHCP. Ejemplo: 1500 |
| Duración | Alias | Alias a DhcpSessionDuration | |
| DhcpSrcDHCId | Opcional | Cadena | El identificador de cliente DHCP, tal como lo define RFC4701 |
| DhcpCircuitId | Opcional | Cadena | El identificador del circuito DHCP, tal como lo define RFC3046 |
| DhcpSubscriberId | Opcional | Cadena | El identificador de suscriptor DHCP, tal como lo define RFC3993 |
| DhcpVendorClassId | Opcional | Cadena | Identificador de clase de proveedor DHCP, tal como se define en RFC3925. |
| DhcpVendorClass | Opcional | Cadena | Clase de proveedor DHCP, tal como se define en RFC3925. |
| DhcpUserClassId | Opcional | Cadena | El identificador de clase de usuario DHCP, tal como lo define RFC3004. |
| DhcpUserClass | Opcional | Cadena | Clase de usuario DHCP, tal como se define en RFC3004. |
| RequestedIpAddr | Opcional | Dirección IP | La dirección IP solicitada por el cliente DHCP, cuando esté disponible. Ejemplo: 192.168.12.3 |
Campos del sistema de origen
El sistema de origen es el sistema que solicita una concesión DHCP.
| Field | Class | Tipo | Notas |
|---|---|---|---|
| Src | Alias | Cadena | Identificador único del dispositivo de origen. Este campo podría aliasar los campos SrcDvcId, SrcHostname o SrcIpAddr . Ejemplo: 192.168.12.1 |
| SrcIpAddr | Obligatorio | Dirección IP | Dirección IP asignada al cliente por el servidor DHCP. Ejemplo: 192.168.12.1 |
| IpAddr | Alias | Alias de SrcIpAddr | |
| SrcHostname | Obligatorio | Nombre de host (cadena) | Nombre de host del dispositivo que solicita la concesión DHCP. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo. Ejemplo: DESKTOP-1282V4D |
| Nombre de host | Alias | Alias para SrcHostname | |
| SrcDomain | Recomendado | Dominio (cadena) | Dominio del dispositivo de origen. Ejemplo: Contoso |
| SrcDomainType | Condicional | Enumerado | Tipo de SrcDomain, si se conoce. Los valores posibles son: - Windows(por ejemplo, ) contoso- FQDN(por ejemplo, ) microsoft.comObligatorio si se usa SrcDomain . |
| SrcFQDN | Opcional | FQDN (cadena) | Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite el formato FQDN tradicional y el formato domain\hostname de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcional | Cadena | Identificador del dispositivo de origen tal como se indica en el registro. Por ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | Cadena | Identificador del ámbito de la plataforma en la nube al que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcScope | Opcional | Cadena | Ámbito de la plataforma en la nube al que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcIdType | Condicional | Enumerado | Tipo de SrcDvcId, si se conoce. Los valores posibles son: - AzureResourceId- MDEidSi hay varios identificadores disponibles, use el primero de la lista anterior y almacene los demás en SrcDvcAzureResourceId y SrcDvcMDEid, respectivamente. Nota: Este campo es necesario si se usa SrcDvcId . |
| SrcDeviceType | Opcional | Enumerado | Tipo del dispositivo de origen. Los valores posibles son: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Opcional | Cadena | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| SrcGeoCountry | Opcional | País | País o región asociado a la dirección IP de origen. Ejemplo: USA |
| SrcGeoRegion | Opcional | Región | Región asociada a la dirección IP de origen. Ejemplo: Vermont |
| SrcGeoCity | Opcional | Ciudad | Ciudad asociada a la dirección IP de origen. Ejemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | Latitud de la coordenada geográfica asociada a la dirección IP de origen. Ejemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | Longitud de la coordenada geográfica asociada a la dirección IP de origen. Ejemplo: 73.211944 |
| SrcRiskLevel | Opcional | Entero | Nivel de riesgo asociado al origen. El valor debe ajustarse a un intervalo de 0 a , con 0 para benignos y 100 para 100un riesgo alto.Ejemplo: 90 |
| SrcOriginalRiskLevel | Opcional | Cadena | El nivel de riesgo asociado al origen, tal y como informa el dispositivo de informes. Ejemplo: Suspicious |
| SrcPortNumber | Opcional | Entero | Puerto IP desde el que se originó la conexión. Es posible que no sea relevante para una sesión que incluya varias conexiones. Ejemplo: 2335 |
Campos de usuario de origen
| Field | Class | Tipo | Notas |
|---|---|---|---|
| SrcUserId | Opcional | Cadena | Representación única, alfanumérica y legible de la máquina del usuario de origen. Para obtener más información y campos alternativos para identificadores adicionales, consulte La entidad User. Ejemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Condicional | UserIdType | Tipo del identificador almacenado en el campo SrcUserId . Para obtener más información y una lista de los valores permitidos, vea UserIdType en el artículo Información general del esquema. |
| SrcUsername | Opcional | Nombre de usuario (cadena) | El nombre de usuario de origen, incluida la información de dominio cuando está disponible. Para obtener más información, vea La entidad User. Ejemplo: AlbertE |
| Usuario | Alias | Alias para SrcUsername | |
| SrcUsernameType | Condicional | UsernameType | Especifica el tipo del nombre de usuario almacenado en el campo SrcUsername . Para obtener más información y una lista de los valores permitidos, vea UsernameType en el artículo Información general del esquema. Ejemplo: Windows |
| SrcUserType | Opcional | UserType | Tipo del usuario de origen. Para obtener más información y una lista de los valores permitidos, vea UserType en el artículo Información general del esquema. Por ejemplo: Guest |
| SrcOriginalUserType | Opcional | Cadena | El tipo de usuario de origen original, si lo proporciona el origen. |
| SrcMacAddr | Obligatorio | Dirección Mac | Dirección MAC del cliente que solicita una concesión DHCP. Nota: El servidor DHCP de Windows registra la dirección MAC de forma no estándar, omitiendo los dos puntos, que debe insertar el analizador. Ejemplo: 06:10:9f:eb:8f:14 |
| SrcUserScope | Opcional | Cadena | Ámbito, como Microsoft Entra inquilino, en el que se definen SrcUserId y SrcUsername. o más información y lista de valores permitidos, vea UserScope en el artículo Información general del esquema. |
| SrcUserScopeId | Opcional | Cadena | Identificador de ámbito, como Microsoft Entra id. de directorio, en el que se definen SrcUserId y SrcUsername. Para obtener más información y una lista de los valores permitidos, vea UserScopeId en el artículo Información general del esquema. |
| SrcUserSessionId | Opcional | Cadena | Identificador único de la sesión de inicio de sesión del actor. Ejemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos de inspección
| Field | Class | Tipo | Notas |
|---|---|---|---|
| Rule | Alias | string | El valor de RuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber, el tipo debe convertirse en cadena. |
| RuleNumber | Opcional | Entero | Número de la regla asociada a la alerta. Por ejemplo, 123456 |
| RuleName | Opcional | string | Nombre o identificador de la regla asociada a la alerta. Por ejemplo, Server PSEXEC Execution via Remote Access |
| ThreatId | Opcional | string | Identificador de la amenaza o malware identificado en la alerta. Por ejemplo, 1234567891011121314 |
| ThreatCategory | Opcional | Cadena | Categoría de la amenaza o malware identificada en la alerta. Los valores admitidos son: Malware, Ransomware, Trojan, , WormVirus, Adware, Spyware, Rootkit, Cryptominor, Phishing, Spam, MaliciousUrl, Spoofing, , Security Policy ViolationUnknown |
| ThreatName | Opcional | string | Nombre de la amenaza o malware identificado en la alerta. Por ejemplo, Init.exe |
| ThreatConfidence | Opcional | ConfidenceLevel (integer) | El nivel de confianza de la amenaza identificada, normalizada a un valor entre 0 y 100. |
| ThreatOriginalConfidence | Opcional | string | Nivel de confianza notificado por el sistema de origen. |
| ThreatRiskLevel | Opcional | RiskLevel (integer) | El nivel de riesgo asociado a la amenaza. El nivel debe ser un número entre 0 y 100. Nota: Es posible que el valor se proporcione en el registro de origen mediante una escala diferente, que debe normalizarse a esta escala. El valor original debe almacenarse en ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | string | Nivel de riesgo notificado por el sistema de origen. |
| ThreatIsActive | Opcional | bool | Indica si la amenaza está activa actualmente. Los valores admitidos son: True, False |
| ThreatFirstReportedTime | Opcional | Fecha y hora | Fecha y hora en que se informó por primera vez de la amenaza. Por ejemplo, 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcional | Fecha y hora | Fecha y hora en que se informó por última vez de la amenaza. Por ejemplo, 2024-09-19T10:12:10.0000000Z |
Actualizaciones de esquema
A continuación se muestran los cambios en la versión 0.1.1 del esquema:
- Se han agregado campos de inspección.
- Se agregaron los campos de ubicación geográfica de origen.
- Se agregaron los campos de origen:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,SrcPortNumber,SrcRiskLevel,SrcUserScope,SrcUserScopeIdSrcUserSessionId``SrcUserUid - Se agregaron los alias
SrcyUser - Los campos
SrcUserUidyThreatFieldestán disponibles en laASimDhcpEventLogstabla, pero no forman parte del esquema.
Siguientes pasos
Para más información, vea:
- Vea el seminario web de ASIM o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Esquemas del modelo de información de seguridad avanzada (ASIM)
- Analizadores del modelo de información de seguridad avanzada (ASIM)
- Contenido del modelo de información de seguridad avanzada (ASIM)