Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il modello informativo DHCP viene usato per descrivere gli eventi segnalati da un server DHCP e viene usato da Microsoft Sentinel per abilitare l'analisi indipendente dall'origine.
Per altre informazioni, vedere Normalization and the Advanced Security Information Model (ASIM).
Parser
Per altre informazioni sui parser ASIM, vedere panoramica dei parser ASIM.
Filtro dei parametri del parser
I parser DHCP supportano i parametri di filtro. Anche se questi parametri sono facoltativi, possono migliorare le prestazioni delle query.
Sono disponibili i parametri di filtro seguenti:
| Nome | Tipo | Descrizione |
|---|---|---|
| Starttime | datetime | Filtrare solo gli eventi DHCP che si sono verificati in corrispondenza o dopo questo periodo di tempo. Questo parametro filtra il TimeGenerated campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime. |
| Endtime | datetime | Filtrare solo gli eventi DHCP che si sono verificati in corrispondenza o prima di questo momento. Questo parametro filtra il TimeGenerated campo, ovvero l'indicatore standard per l'ora dell'evento, indipendentemente dal mapping specifico del parser dei campi EventStartTime e EventEndTime. |
| srcipaddr_has_any_prefix | Dinamico | Filtrare solo gli eventi DHCP in cui il prefisso dell'indirizzo IP di origine corrisponde a uno dei valori elencati. I prefissi devono terminare con un ., ad esempio: 10.0.. |
| srchostname_has_any | Dinamico | Filtrare solo gli eventi DHCP in cui il nome host di origine ha uno dei valori elencati. |
| srcusername_has_any | Dinamico | Filtrare solo gli eventi DHCP in cui il nome utente di origine ha uno dei valori elencati. |
| eventresult | stringa | Filtrare solo gli eventi DHCP con un risultato di evento specifico. Usare * per includere tutti i risultati. |
Ad esempio, per filtrare solo gli eventi DHCP da un intervallo di indirizzi IP specifico nell'ultimo giorno, usare:
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
Panoramica sullo schema
Lo schema DHCP ASIM rappresenta l'attività del server DHCP, inclusa la gestione delle richieste per l'indirizzo IP DHCP rilasciato dai sistemi client e l'aggiornamento di un server DNS con i lease concessi.
I campi più importanti in un evento DHCP sono SrcIpAddr e SrcHostname, che il server DHCP associa concedendo il lease e sono aliasati rispettivamente dai campi IpAddr e Hostname . Anche il campo SrcMacAddr è importante in quanto rappresenta il computer client usato quando un indirizzo IP non è affittato.
Un server DHCP può rifiutare un client, a causa di problemi di sicurezza o a causa della saturazione della rete. Può anche mettere in quarantena un client tramite leasing a esso un indirizzo IP che lo connetterebbe a una rete limitata. I campi EventResult, EventResultDetails e DvcAction forniscono informazioni sulla risposta e sull'azione del server DHCP.
La durata di un lease viene archiviata nel campo DhcpLeaseDuration .
Dettagli dello schema
ASIM è allineato al progetto OSSEM (Open Source Security Events Metadata).
OSSEM non ha uno schema DHCP paragonabile allo schema DHCP ASIM.
Campi ASIM comuni
Importante
I campi comuni a tutti gli schemi sono descritti in dettaglio nell'articolo Campi comuni di ASIM .
Campi comuni con linee guida specifiche
Nell'elenco seguente vengono indicati i campi con linee guida specifiche per gli eventi DHCP:
| Campo | Classe | Tipo | Descrizione |
|---|---|---|---|
| EventType | Obbligatorio | Enumerato | Indicare l'operazione segnalata dal record. I valori possibili sono Assign, Renew, Releasee DNS Update. Esempio: Assign |
| EventSchemaVersion | Obbligatorio | SchemaVersion (String) | La versione dello schema documentata di seguito è 0.1.1. |
| EventSchema | Obbligatorio | Stringa | Il nome dello schema documentato di seguito è DhcpEvent. |
| Campi Dvc | - | - | Per gli eventi DHCP, i campi del dispositivo fanno riferimento al sistema che segnala l'evento DHCP. |
Tutti i campi comuni
I campi visualizzati nella tabella sono comuni a tutti gli schemi ASIM. Qualsiasi linea guida specificata in precedenza sostituisce le linee guida generali per il campo. Ad esempio, un campo può essere facoltativo in generale, ma obbligatorio per uno schema specifico. Per altre informazioni su ogni campo, vedere l'articolo Campi comuni di ASIM .
| Classe | Campi |
|---|---|
| Obbligatorio |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Consigliata |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facoltativo |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Campi specifici di DHCP
| Campo | Classe | Tipo | Note |
|---|---|---|---|
| DhcpLeaseDuration | Facoltativo | Numero intero | Lunghezza del lease concesso a un client, in secondi. |
| DhcpSessionId | Facoltativo | stringa | Identificatore di sessione segnalato dal dispositivo di report. Per il server DHCP Windows, impostarlo sul campo TransactionID. Esempio: 2099570186 |
| SessionId | Alias | Stringa | Alias a DhcpSessionId |
| DhcpSessionDuration | Facoltativo | Numero intero | La quantità di tempo, in millisecondi, per il completamento della sessione DHCP. Esempio: 1500 |
| Durata | Alias | Alias a DhcpSessionDuration | |
| DhcpSrcDHCId | Facoltativo | Stringa | ID client DHCP, come definito da RFC4701 |
| DhcpCircuitId | Facoltativo | Stringa | ID circuito DHCP, come definito da RFC3046 |
| DhcpSubscriberId | Facoltativo | Stringa | ID sottoscrittore DHCP, come definito da RFC3993 |
| DhcpVendorClassId | Facoltativo | Stringa | ID classe fornitore DHCP, come definito da RFC3925. |
| DhcpVendorClass | Facoltativo | Stringa | Classe fornitore DHCP, come definito da RFC3925. |
| DhcpUserClassId | Facoltativo | Stringa | ID classe utente DHCP, come definito da RFC3004. |
| DhcpUserClass | Facoltativo | Stringa | Classe utente DHCP, come definito da RFC3004. |
| RequestedIpAddr | Facoltativo | Indirizzo IP | Indirizzo IP richiesto dal client DHCP, se disponibile. Esempio: 192.168.12.3 |
Campi del sistema di origine
Il sistema di origine è il sistema che richiede un lease DHCP
| Campo | Classe | Tipo | Note |
|---|---|---|---|
| Src | Alias | Stringa | Identificatore univoco del dispositivo di origine. Questo campo potrebbe aliasare i campi SrcDvcId, SrcHostname o SrcIpAddr . Esempio: 192.168.12.1 |
| SrcIpAddr | Obbligatorio | Indirizzo IP | Indirizzo IP assegnato al client dal server DHCP. Esempio: 192.168.12.1 |
| IpAddr | Alias | Alias per SrcIpAddr | |
| SrcHostname | Obbligatorio | Nome host (stringa) | Nome host del dispositivo che richiede il lease DHCP. Se non è disponibile alcun nome del dispositivo, archiviare l'indirizzo IP pertinente in questo campo. Esempio: DESKTOP-1282V4D |
| Hostname | Alias | Alias per SrcHostname | |
| SrcDomain | Consigliata | Dominio (stringa) | Dominio del dispositivo di origine. Esempio: Contoso |
| SrcDomainType | Condizionale | Enumerato | Tipo di SrcDomain, se noto. I valori possibili includono: - Windows (ad esempio: contoso)- FQDN (ad esempio: microsoft.com)Obbligatorio se si usa SrcDomain . |
| SrcFQDN | Facoltativo | FQDN (String) | Nome host del dispositivo di origine, incluse le informazioni sul dominio quando disponibile. Nota: questo campo supporta sia il formato FQDN tradizionale che il formato dominio\nome host di Windows. Il campo SrcDomainType riflette il formato utilizzato. Esempio: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Facoltativo | Stringa | ID del dispositivo di origine come indicato nel record. Ad esempio: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facoltativo | Stringa | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcScope | Facoltativo | Stringa | Ambito della piattaforma cloud a cui appartiene il dispositivo. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcIdType | Condizionale | Enumerato | Tipo di SrcDvcId, se noto. I valori possibili includono: - AzureResourceId- MDEidSe sono disponibili più ID, usare il primo dall'elenco precedente e archiviarne gli altri rispettivamente in SrcDvcAzureResourceId e SrcDvcMDEid. Nota: questo campo è obbligatorio se si usa SrcDvcId . |
| SrcDeviceType | Facoltativo | Enumerato | Tipo del dispositivo di origine. I valori possibili includono: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Facoltativo | Stringa | Testo descrittivo associato al dispositivo. Ad esempio: Primary Domain Controller. |
| SrcGeoCountry | Facoltativo | Paese | Paese/area geografica associato all'indirizzo IP di origine. Esempio: USA |
| SrcGeoRegion | Facoltativo | Area geografica | Area associata all'indirizzo IP di origine. Esempio: Vermont |
| SrcGeoCity | Facoltativo | Città | Città associata all'indirizzo IP di origine. Esempio: Burlington |
| SrcGeoLatitude | Facoltativo | Latitudine | La latitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: 44.475833 |
| SrcGeoLongitude | Facoltativo | Longitudine | Longitudine della coordinata geografica associata all'indirizzo IP di origine. Esempio: 73.211944 |
| SrcRiskLevel | Facoltativo | Numero intero | Livello di rischio associato all'origine. Il valore deve essere regolato in base a un intervallo di 0 , 100con 0 per un valore non dannoso e 100 per un rischio elevato.Esempio: 90 |
| SrcOriginalRiskLevel | Facoltativo | Stringa | Livello di rischio associato all'origine, come indicato dal dispositivo di report. Esempio: Suspicious |
| SrcPortNumber | Facoltativo | Numero intero | Porta IP da cui ha origine la connessione. Potrebbe non essere rilevante per una sessione che include più connessioni. Esempio: 2335 |
Campi utente di origine
| Campo | Classe | Tipo | Note |
|---|---|---|---|
| SrcUserId | Facoltativo | Stringa | Rappresentazione univoca, alfanumerica e leggibile dal computer dell'utente di origine. Per altre informazioni e per i campi alternativi per gli ID aggiuntivi, vedere L'entità Utente. Esempio: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Condizionale | UserIdType | Tipo dell'ID archiviato nel campo SrcUserId . Per altre informazioni e l'elenco dei valori consentiti, vedere UserIdTypenell'articolo Panoramica dello schema. |
| SrcUsername | Facoltativo | Nome utente (stringa) | Nome utente di origine, incluse le informazioni sul dominio quando disponibili. Per altre informazioni, vedere L'entità Utente. Esempio: AlbertE |
| Utente | Alias | Alias per SrcUsername | |
| SrcUsernameType | Condizionale | UsernameType | Specifica il tipo di nome utente archiviato nel campo SrcUsername . Per altre informazioni e l'elenco dei valori consentiti, vedere UsernameTypenell'articolo Panoramica dello schema. Esempio: Windows |
| SrcUserType | Facoltativo | Usertype | Tipo dell'utente di origine. Per altre informazioni ed elenco dei valori consentiti, vedere UserTypenell'articolo Panoramica dello schema. Ad esempio: Guest |
| SrcOriginalUserType | Facoltativo | Stringa | Tipo di utente di origine originale, se fornito dall'origine. |
| SrcMacAddr | Obbligatorio | Indirizzo Mac | Indirizzo MAC del client che richiede un lease DHCP. Nota: il server DHCP Windows registra l'indirizzo MAC in modo non standard, omettendo i due punti, che devono essere inseriti dal parser. Esempio: 06:10:9f:eb:8f:14 |
| SrcUserScope | Facoltativo | Stringa | Ambito, ad esempio Microsoft Entra tenant, in cui vengono definiti SrcUserId e SrcUsername. o altre informazioni e l'elenco dei valori consentiti, vedere UserScopenell'articolo Panoramica dello schema. |
| SrcUserScopeId | Facoltativo | Stringa | ID ambito, ad esempio Microsoft Entra ID directory, in cui vengono definiti SrcUserId e SrcUsername. Per altre informazioni e l'elenco dei valori consentiti, vedere UserScopeIdnell'articolo Panoramica dello schema. |
| SrcUserSessionId | Facoltativo | Stringa | ID univoco della sessione di accesso dell'attore. Esempio: 102pTUgC3p8RIqHvzxLCHnFlg |
Campi di ispezione
| Campo | Classe | Tipo | Note |
|---|---|---|---|
| Regola | Alias | stringa | Valore di RuleName o valore di RuleNumber. Se viene utilizzato il valore di RuleNumber, il tipo deve essere convertito in stringa. |
| RuleNumber | Facoltativo | int | Numero della regola associata all'avviso. Ad esempio. 123456 |
| Rulename | Facoltativo | stringa | Nome o ID della regola associata all'avviso. Ad esempio. Server PSEXEC Execution via Remote Access |
| ThreatId | Facoltativo | stringa | ID della minaccia o del malware identificato nell'avviso. Ad esempio. 1234567891011121314 |
| ThreatCategory | Facoltativo | Stringa | Categoria della minaccia o del malware identificato nell'avviso. I valori supportati sono: Malware, Ransomware, Trojan, Virus, Worm, Adware, Spyware, RootkitCryptominor, Phishing, Spam, , MaliciousUrl, , Spoofing, Security Policy ViolationUnknown |
| ThreatName | Facoltativo | stringa | Nome della minaccia o del malware identificato nell'avviso. Ad esempio. Init.exe |
| ThreatConfidence | Facoltativo | ConfidenceLevel (Integer) | Livello di attendibilità della minaccia identificata, normalizzata in un valore compreso tra 0 e 100. |
| ThreatOriginalConfidence | Facoltativo | stringa | Livello di attendibilità indicato dal sistema di origine. |
| ThreatRiskLevel | Facoltativo | RiskLevel (Integer) | Livello di rischio associato alla minaccia. Il livello deve essere un numero compreso tra 0 e 100. Nota: il valore può essere fornito nel record di origine usando una scala diversa, che deve essere normalizzata in base a questa scala. Il valore originale deve essere archiviato in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facoltativo | stringa | Livello di rischio indicato dal sistema di origine. |
| ThreatIsActive | Facoltativo | bool | Indica se la minaccia è attualmente attiva. I valori supportati sono: True, False |
| ThreatFirstReportedTime | Facoltativo | Data/ora | Data e ora in cui la minaccia è stata segnalata per la prima volta. Ad esempio. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Facoltativo | Data/ora | Data e ora dell'ultima segnalazione della minaccia. Ad esempio. 2024-09-19T10:12:10.0000000Z |
Aggiornamenti dello schema
Di seguito sono riportate le modifiche apportate alla versione 0.1.1 dello schema:
- Sono stati aggiunti campi di ispezione.
- Sono stati aggiunti i campi di posizione geografica di origine.
- Aggiunta dei campi di origine:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,SrcPortNumber,SrcRiskLevel,SrcUserScope, ,SrcUserScopeIdSrcUserSessionId``SrcUserUid - Sono stati aggiunti gli
Srcalias eUser - I campi
SrcUserUideThreatFieldsono disponibili nellaASimDhcpEventLogstabella, ma non fanno parte dello schema.
Passaggi successivi
Per ulteriori informazioni, vedere: