Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le modèle d’informations DHCP est utilisé pour décrire les événements signalés par un serveur DHCP et est utilisé par Microsoft Sentinel pour activer l’analytique indépendante de la source.
Pour plus d’informations, consultez Normalisation et Advanced Security Information Model (ASIM).
Analyseurs
Pour plus d’informations sur les analyseurs ASIM, consultez la vue d’ensemble des analyseurs ASIM.
Filtrage des paramètres de l’analyseur
Les analyseurs DHCP prennent en charge les paramètres de filtrage. Bien que ces paramètres soient facultatifs, ils peuvent améliorer les performances de vos requêtes.
Les paramètres de filtrage suivants sont disponibles :
| Nom | Type | Description |
|---|---|---|
| Starttime | DateHeure | Filtrez uniquement les événements DHCP qui se sont produits à ou après cette date. Ce paramètre filtre sur le TimeGenerated champ, qui est l’indicateur standard pour l’heure de l’événement, quel que soit le mappage spécifique à l’analyseur des champs EventStartTime et EventEndTime. |
| heure de fin | DateHeure | Filtrez uniquement les événements DHCP qui se sont produits à cette heure ou avant. Ce paramètre filtre sur le TimeGenerated champ, qui est l’indicateur standard pour l’heure de l’événement, quel que soit le mappage spécifique à l’analyseur des champs EventStartTime et EventEndTime. |
| srcipaddr_has_any_prefix | Dynamique | Filtrez uniquement les événements DHCP pour lesquels le préfixe d’adresse IP source correspond à l’une des valeurs répertoriées. Les préfixes doivent se terminer par un ., par exemple : 10.0.. |
| srchostname_has_any | Dynamique | Filtrez uniquement les événements DHCP pour lesquels le nom d’hôte source a l’une des valeurs répertoriées. |
| srcusername_has_any | Dynamique | Filtrez uniquement les événements DHCP pour lesquels le nom d’utilisateur source a l’une des valeurs répertoriées. |
| eventresult | string | Filtrez uniquement les événements DHCP avec un résultat d’événement spécifique. Utilisez * pour inclure tous les résultats. |
Par exemple, pour filtrer uniquement les événements DHCP d’une plage d’adresses IP spécifique au cours du dernier jour, utilisez :
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
Vue d’ensemble du schéma
Le schéma DHCP ASIM représente l’activité du serveur DHCP, notamment le traitement des demandes d’adresse IP DHCP louée à partir de systèmes clients et la mise à jour d’un serveur DNS avec les baux accordés.
Les champs les plus importants d’un événement DHCP sont SrcIpAddr et SrcHostname, que le serveur DHCP lie en accordant le bail, et sont alias par les champs IpAddr et Hostname , respectivement. Le champ SrcMacAddr est également important, car il représente l’ordinateur client utilisé lorsqu’une adresse IP n’est pas louée.
Un serveur DHCP peut rejeter un client, soit en raison de problèmes de sécurité, soit en raison de la saturation du réseau. Il peut également mettre en quarantaine un client en lui louant une adresse IP qui le connecterait à un réseau limité. Les champs EventResult, EventResultDetails et DvcAction fournissent des informations sur la réponse et l’action du serveur DHCP.
La durée d’un bail est stockée dans le champ DhcpLeaseDuration .
Détails du schéma
ASIM est aligné sur le projet OSSEM (Open Source Security Events Metadata).
OSSEM n’a pas de schéma DHCP comparable au schéma DHCP ASIM.
Champs ASIM courants
Importante
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM .
Champs communs avec des instructions spécifiques
La liste suivante mentionne les champs qui ont des instructions spécifiques pour les événements DHCP :
| Field | Class | Type | Description |
|---|---|---|---|
| EventType | Obligatoire | Énumérés | Indiquez l’opération signalée par l’enregistrement. Les valeurs possibles sont Assign, Renew, Releaseet DNS Update. Exemple : Assign |
| EventSchemaVersion | Obligatoire | SchemaVersion (String) | La version du schéma documentée ici est 0.1.1. |
| EventSchema | Obligatoire | String | Le nom du schéma documenté ici est DhcpEvent. |
| Champs Dvc | - | - | Pour les événements DHCP, les champs d’appareil font référence au système qui signale l’événement DHCP. |
Tous les champs courants
Les champs qui apparaissent dans la table sont communs à tous les schémas ASIM. Toutes les recommandations spécifiées ci-dessus remplacent les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, consultez l’article Champs communs ASIM .
| Class | Fields |
|---|---|
| Obligatoire |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Cvn |
| Recommandé |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Champs spécifiques à DHCP
| Field | Class | Type | Remarques |
|---|---|---|---|
| DhcpLeaseDuration | Facultatif | Entier | Durée du bail accordé à un client, en secondes. |
| DhcpSessionId | Facultatif | string | Identificateur de session tel que signalé par l’appareil de création de rapports. Pour le serveur DHCP Windows, définissez-le sur le champ TransactionID. Exemple : 2099570186 |
| Sessionid | Alias | String | Alias vers DhcpSessionId |
| DhcpSessionDuration | Facultatif | Entier | Durée, en millisecondes, de la fin de la session DHCP. Exemple : 1500 |
| Duration | Alias | Alias de DhcpSessionDuration | |
| DhcpSrcDHCId | Facultatif | String | L’ID client DHCP, tel que défini par RFC4701 |
| DhcpCircuitId | Facultatif | String | ID de circuit DHCP, tel que défini par RFC3046 |
| DhcpSubscriberId | Facultatif | String | ID d’abonné DHCP, tel que défini par RFC3993 |
| DhcpVendorClassId | Facultatif | String | ID de classe de fournisseur DHCP, tel que défini par RFC3925. |
| DhcpVendorClass | Facultatif | String | Classe du fournisseur DHCP, telle que définie par RFC3925. |
| DhcpUserClassId | Facultatif | String | ID de classe utilisateur DHCP, tel que défini par RFC3004. |
| DhcpUserClass | Facultatif | String | Classe utilisateur DHCP, telle que définie par RFC3004. |
| RequestedIpAddr | Facultatif | Adresse IP | Adresse IP demandée par le client DHCP, lorsqu’elle est disponible. Exemple : 192.168.12.3 |
Champs système source
Le système source est le système qui demande un bail DHCP
| Field | Class | Type | Remarques |
|---|---|---|---|
| Src | Alias | String | Identificateur unique de l’appareil source. Ce champ peut alias les champs SrcDvcId, SrcHostname ou SrcIpAddr . Exemple : 192.168.12.1 |
| SrcIpAddr | Obligatoire | Adresse IP | Adresse IP attribuée au client par le serveur DHCP. Exemple : 192.168.12.1 |
| IpAddr | Alias | Alias pour SrcIpAddr | |
| SrcHostname | Obligatoire | Hostname (String) | Nom d’hôte de l’appareil demandant le bail DHCP. Si aucun nom d’appareil n’est disponible, stockez l’adresse IP appropriée dans ce champ. Exemple : DESKTOP-1282V4D |
| Hostname | Alias | Alias pour SrcHostname | |
| SrcDomain | Recommandé | Domaine (Chaîne) | Domaine de l’appareil source. Exemple : Contoso |
| SrcDomainType | Conditionnelle | Énumérés | Type de SrcDomain, s’il est connu. Les valeurs admises sont les suivantes : - Windows (par exemple : contoso)- FQDN (par exemple : microsoft.com)Obligatoire si SrcDomain est utilisé. |
| SrcFQDN | Facultatif | Nom de domaine complet (chaîne) | Nom d’hôte de l’appareil source, y compris les informations de domaine lorsqu’elles sont disponibles. Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format domaine\nom d’hôte Windows. Le champ SrcDomainType reflète le format utilisé. Exemple : Contoso\DESKTOP-1282V4D |
| SrcDvcId | Facultatif | String | ID de l’appareil source tel qu’indiqué dans l’enregistrement. Par exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facultatif | String | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil. SrcDvcScopeId mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScope | Facultatif | String | Étendue de la plateforme cloud à laquelle appartient l’appareil. SrcDvcScope mappé à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcIdType | Conditionnelle | Énumérés | Type de SrcDvcId, s’il est connu. Les valeurs admises sont les suivantes : - AzureResourceId- MDEidSi plusieurs ID sont disponibles, utilisez le premier de la liste ci-dessus et stockez les autres dans SrcDvcAzureResourceId et SrcDvcMDEid, respectivement. Remarque : Ce champ est obligatoire si SrcDvcId est utilisé. |
| SrcDeviceType | Facultatif | Énumérés | Type de l’appareil source. Les valeurs admises sont les suivantes : - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Facultatif | String | Texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| SrcGeoCountry | Facultatif | Pays | Pays/région associé à l’adresse IP source. Exemple : USA |
| SrcGeoRegion | Facultatif | Région | Région associée à l’adresse IP source. Exemple : Vermont |
| SrcGeoCity | Facultatif | Ville | Ville associée à l’adresse IP source. Exemple : Burlington |
| SrcGeoLatitude | Facultatif | Latitude | Latitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 44.475833 |
| SrcGeoLongitude | Facultatif | Longitude | Longitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 73.211944 |
| SrcRiskLevel | Facultatif | Entier | Niveau de risque associé à la source. La valeur doit être ajustée à une plage de 0 à , avec 0 pour sans gravité et 100 pour 100un risque élevé.Exemple : 90 |
| SrcOriginalRiskLevel | Facultatif | String | Niveau de risque associé à la source, tel que signalé par l’appareil de création de rapports. Exemple : Suspicious |
| SrcPortNumber | Facultatif | Entier | Port IP d’où provient la connexion. Peut ne pas être pertinent pour une session comprenant plusieurs connexions. Exemple : 2335 |
Champs de l’utilisateur source
| Field | Class | Type | Remarques |
|---|---|---|---|
| SrcUserId | Facultatif | String | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur source. Pour plus d’informations et pour obtenir d’autres champs pour d’autres ID, consultez L’entité Utilisateur. Exemple : S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Conditionnelle | UserIdType | Type de l’ID stocké dans le champ SrcUserId . Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserIdType dans l’article Vue d’ensemble du schéma. |
| SrcUsername | Facultatif | Nom d’utilisateur (chaîne) | Nom d’utilisateur source, y compris les informations de domaine lorsqu’elles sont disponibles. Pour plus d’informations, consultez L’entité Utilisateur. Exemple : AlbertE |
| Utilisateur | Alias | Alias pour SrcUsername | |
| SrcUsernameType | Conditionnelle | UsernameType | Spécifie le type du nom d’utilisateur stocké dans le champ SrcUsername . Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UsernameType dans l’article Vue d’ensemble du schéma. Exemple : Windows |
| SrcUserType | Facultatif | UserType | Type de l’utilisateur source. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserType dans l’article Vue d’ensemble du schéma. Par exemple : Guest |
| SrcOriginalUserType | Facultatif | String | Type d’utilisateur source d’origine, s’il est fourni par la source. |
| SrcMacAddr | Obligatoire | Adresse Mac | Adresse MAC du client demandant un bail DHCP. Remarque : Le serveur DHCP Windows enregistre l’adresse MAC d’une manière non standard, en omettant les deux-points, qui doivent être insérés par l’analyseur. Exemple : 06:10:9f:eb:8f:14 |
| SrcUserScope | Facultatif | String | Étendue, telle que Microsoft Entra locataire, dans laquelle SrcUserId et SrcUsername sont définis. ou plus d’informations et la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| SrcUserScopeId | Facultatif | String | ID d’étendue, tel que Microsoft Entra ID d’annuaire, dans lequel SrcUserId et SrcUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
| SrcUserSessionId | Facultatif | String | ID unique de la session de connexion de l’acteur. Exemple : 102pTUgC3p8RIqHvzxLCHnFlg |
Champs d’inspection
| Field | Class | Type | Remarques |
|---|---|---|---|
| Règle | Alias | string | Valeur de RuleName ou valeur de RuleNumber. Si la valeur de RuleNumber est utilisée, le type doit être converti en chaîne. |
| RuleNumber | Facultatif | int | Numéro de la règle associée à l’alerte. P. ex. 123456 |
| RuleName | Facultatif | string | Nom ou ID de la règle associée à l’alerte. P. ex. Server PSEXEC Execution via Remote Access |
| ThreatId | Facultatif | string | ID de la menace ou du programme malveillant identifié dans l’alerte. P. ex. 1234567891011121314 |
| ThreatCategory | Facultatif | String | Catégorie de la menace ou du programme malveillant identifié dans l’alerte. Les valeurs prises en charge sont : , , Virus, , AdwareWorm, SpywareRootkit, PhishingCryptominorSpamSpoofingMaliciousUrlSecurity Policy Violation, TrojanRansomwareMalwareUnknown |
| ThreatName | Facultatif | string | Nom de la menace ou du programme malveillant identifié dans l’alerte. P. ex. Init.exe |
| ThreatConfidence | Facultatif | ConfidenceLevel (Integer) | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatOriginalConfidence | Facultatif | string | Niveau de confiance tel que indiqué par le système d’origine. |
| ThreatRiskLevel | Facultatif | RiskLevel (Integer) | Niveau de risque associé à la menace. Le niveau doit être un nombre compris entre 0 et 100. Remarque : La valeur peut être fournie dans l’enregistrement source à l’aide d’une échelle différente, qui doit être normalisée à cette échelle. La valeur d’origine doit être stockée dans ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facultatif | string | Niveau de risque indiqué par le système d’origine. |
| ThreatIsActive | Facultatif | bool | Indique si la menace est actuellement active. Les valeurs prises en charge sont : True, False |
| ThreatFirstReportedTime | Facultatif | Date/Heure | Date et heure auxquelles la menace a été signalée pour la première fois. P. ex. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Facultatif | Date/Heure | Date et heure de la dernière signalement de la menace. P. ex. 2024-09-19T10:12:10.0000000Z |
Mises à jour de schéma
Voici les modifications apportées à la version 0.1.1 du schéma :
- Ajout de champs d’inspection.
- Ajout des champs d’emplacement géographique source.
- Ajout des champs sources :
SrcDescription, ,SrcOriginalUserTypeSrcOriginalRiskLevel,SrcPortNumberSrcRiskLevel, ,SrcUserScope,SrcUserScopeIdSrcUserSessionId``SrcUserUid - Ajout des alias
SrcetUser - Les champs
SrcUserUidetThreatFieldsont disponibles dans laASimDhcpEventLogstable, mais ne font pas partie du schéma.
Prochaines étapes
Pour plus d’informations, reportez-vous aux rubriques suivantes :