Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het DHCP-informatiemodel wordt gebruikt om gebeurtenissen te beschrijven die zijn gerapporteerd door een DHCP-server en wordt gebruikt door Microsoft Sentinel om bronagnostische analyses in te schakelen.
Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie.
Schemaoverzicht
Het ASIM DHCP-schema vertegenwoordigt dhcp-serveractiviteit, waaronder het verwerken van aanvragen voor DHCP-IP-adres dat is geleased van clientsystemen en het bijwerken van een DNS-server met de leases die zijn verleend.
De belangrijkste velden in een DHCP-gebeurtenis zijn SrcIpAddr en SrcHostname, die de DHCP-server verbindt door de lease te verlenen en worden respectievelijk gealiaseerd door de velden IpAddr en Hostnaam . Het veld SrcMacAddr is ook belangrijk omdat het de clientcomputer vertegenwoordigt die wordt gebruikt wanneer een IP-adres niet wordt geleased.
Een DHCP-server kan een client weigeren vanwege de beveiligingsproblemen of vanwege netwerkverzadiging. Het kan ook een client in quarantaine plaatsen door een IP-adres te leasen dat verbinding maakt met een beperkt netwerk. De velden EventResult, EventResultDetails en DvcAction bieden informatie over het antwoord en de actie van de DHCP-server.
De duur van een lease wordt opgeslagen in het veld DhcpLeaseDuration .
Schemadetails
ASIM is afgestemd op het osSEM-project (Open Source Security Events Metadata).
OSSEM heeft geen DHCP-schema dat vergelijkbaar is met het ASIM DHCP-schema.
Algemene ASIM-velden
Belangrijk
Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor DHCP-gebeurtenissen:
| Veld | Klas | Type | Beschrijving |
|---|---|---|---|
| EventType | Verplicht | Enumerated | Geef de bewerking aan die door de record is gerapporteerd. Mogelijke waarden zijn Assign, Renew, en ReleaseDNS Update. Voorbeeld: Assign |
| EventSchemaVersion | Verplicht | SchemaVersion (string) | De versie van het schema die hier wordt gedocumenteerd is 0.1.1. |
| EventSchema | Verplicht | String | De naam van het schema dat hier wordt beschreven, is DhcpEvent. |
| Dvc-velden | - | - | Voor DHCP-gebeurtenissen verwijzen apparaatvelden naar het systeem dat de DHCP-gebeurtenis rapporteert. |
Alle algemene velden
Velden die in de tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Zie het artikel algemene ASIM-velden voor meer informatie over elk veld.
| Klas | Velden |
|---|---|
| Verplicht |
-
Aantal gebeurtenissen - Starttijd van het evenement - EventEndTime - Soort gebeurtenis - Resultaat van evenement - Evenement Product - Verkoper van evenementen - EventSchema - EventSchemaVersion - DVC |
| Aanbevolen |
-
EvenementResultaatDetails - GebeurtenisErnst - Uiteindelijke gebeurtenis - DvcIpAddr - DvcHostnaam - DvcDomein - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel |
-
Evenement Bericht - GebeurtenisSubType - EvenementOriginalUid - GebeurtenisOrigineelType - EventOriginalSubType - EventOrigineelResultaatDetails - GebeurtenisOrigineelErnst - EventProductVersie - GebeurtenisRapportUrl - Eigenaar van het evenement - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - Dvc-koppeling - Aanvullende velden - DvcBeschrijving - DvcScopeId - DvcScope |
DHCP-specifieke velden
| Veld | Klas | Type | Notes |
|---|---|---|---|
| DhcpLeaseDuration | Optioneel | Geheel getal | De duur van de lease die aan een klant wordt verleend, in seconden. |
| DhcpSessionId | Optioneel | tekenreeks | De sessie-id zoals gerapporteerd door het rapportageapparaat. Voor de Windows DHCP-server stelt u dit in op het veld TransactionID. Voorbeeld: 2099570186 |
| SessionId | Alias | String | Alias naar DhcpSessionId |
| DhcpSessieDuur | Optioneel | Geheel getal | De hoeveelheid tijd, in milliseconden, voor de voltooiing van de DHCP-sessie. Voorbeeld: 1500 |
| Duur | Alias | Alias naar DhcpSessionDuration | |
| DhcpSrcDHCId | Optioneel | String | De DHCP-client-id, zoals gedefinieerd door RFC4701 |
| DhcpCircuitId | Optioneel | String | De DHCP-circuit-id, zoals gedefinieerd door RFC3046 |
| DhcpSubscriberId | Optioneel | String | De DHCP-abonnee-id, zoals gedefinieerd door RFC3993 |
| DhcpVendorClassId | Optioneel | String | De klasse-id van DHCP-leverancier, zoals gedefinieerd door RFC3925. |
| DhcpVendorClass | Optioneel | String | De DHCP-leveranciersklasse, zoals gedefinieerd door RFC3925. |
| DhcpUserClassId | Optioneel | String | De DHCP-gebruikersklasse-id, zoals gedefinieerd door RFC3004. |
| DhcpUserClass | Optioneel | String | De DHCP-gebruikersklasse, zoals gedefinieerd door RFC3004. |
| RequestedIpAddr | Optioneel | IP-adres | Het IP-adres dat is aangevraagd door de DHCP-client, indien beschikbaar. Voorbeeld: 192.168.12.3 |
Bronsysteemvelden
Het bronsysteem is het systeem dat een DHCP-lease aanvraagt
| Veld | Klas | Type | Notes |
|---|---|---|---|
| Src | Alias | String | Een unieke id van het bronapparaat. Dit veld kan een alias zijn voor de velden SrcDvcId, SrcHostname of SrcIpAddr . Voorbeeld: 192.168.12.1 |
| SrcIpAddr | Verplicht | IP-adres | Het IP-adres dat is toegewezen aan de client door de DHCP-server. Voorbeeld: 192.168.12.1 |
| IpAddr | Alias | Alias voor SrcIpAddr | |
| SrcHostnaam | Verplicht | Gastheernaam (String) | De hostnaam van het apparaat dat de DHCP-lease aanvraagt. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres op in dit veld. Voorbeeld: DESKTOP-1282V4D |
| Hostnaam | Alias | Alias voor SrcHostname | |
| SrcDomein | Aanbevolen | Domein (String) | Het domein van het bronapparaat. Voorbeeld: Contoso |
| SrcDomainType | Voorwaardelijk | Enumerated | Het type SrcDomain, indien bekend. Mogelijke waarden zijn onder andere: - Windows (zoals: contoso)- FQDN (zoals: microsoft.com)Vereist als SrcDomain wordt gebruikt. |
| SrcFQDN | Optioneel | FQDN (String) | De hostnaam van het bronapparaat, inclusief domeingegevens, indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Indeling windows-domein\hostnaam. Het veld SrcDomainType weerspiegelt de gebruikte indeling. Voorbeeld: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Optioneel | String | De id van het bronapparaat zoals gerapporteerd in de record. Bijvoorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optioneel | String | De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| SrcDvcScope | Optioneel | String | Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS. |
| SrcDvcIdType | Voorwaardelijk | Enumerated | Het type SrcDvcId, indien bekend. Mogelijke waarden zijn onder andere: - AzureResourceId- MDEidAls er meerdere id's beschikbaar zijn, gebruikt u de eerste id uit de bovenstaande lijst en slaat u de andere id's op in respectievelijk de SrcDvcAzureResourceId en SrcDvcMDEid. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt. |
| SrcDeviceType | Optioneel | Enumerated | Het type bronapparaat. Mogelijke waarden zijn onder andere: - Computer- Mobile Device- IOT Device- Other |
| SrcBeschrijving | Optioneel | String | Een beschrijvende tekst die aan het apparaat is gekoppeld. Voorbeeld: Primary Domain Controller. |
| SrcGeoLand | Optioneel | Country | Het land/de regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: USA |
| SrcGeoRegio | Optioneel | Regio | De regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: Vermont |
| SrcGeoCity | Optioneel | City | De plaats die is gekoppeld aan het bron-IP-adres. Voorbeeld: Burlington |
| SrcGeoL dankbaarheid | Optioneel | Breedtegraad | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 44.475833 |
| SrcGeoLengtegraad | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 73.211944 |
| SrcRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat aan de bron is gekoppeld. De waarde moet worden aangepast aan een bereik van 0 tot, met 100 voor goedaardig en 0 voor 100een hoog risico.Voorbeeld: 90 |
| SrcOriginalRiskLevel | Optioneel | String | Het risiconiveau dat is gekoppeld aan de bron, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: Suspicious |
| SrcPortNumber | Optioneel | Geheel getal | De IP-poort waaruit de verbinding afkomstig is. Mogelijk is dit niet relevant voor een sessie die uit meerdere verbindingen bestaat. Voorbeeld: 2335 |
Brongebruikersvelden
| Veld | Klas | Type | Notes |
|---|---|---|---|
| SrcUserId | Optioneel | String | Een machineleesbare, alfanumerieke, unieke weergave van de brongebruiker. Zie de entiteit Gebruiker voor meer informatie en voor alternatieve velden voor aanvullende id's. Voorbeeld: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Voorwaardelijk | UserIdType | Het type id dat is opgeslagen in het veld SrcUserId . Zie UserIdType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| SrcGebruikersnaam | Optioneel | Gebruikersnaam (String) | De gebruikersnaam van de bron, inclusief domeingegevens, indien beschikbaar. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
| Gebruiker | Alias | Alias voor SrcUsername | |
| SrcGebruikersnaamType | Voorwaardelijk | Gebruikersnaamtype | Hiermee geeft u het type van de gebruikersnaam op die is opgeslagen in het veld SrcUsername . Zie UsernameType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Voorbeeld: Windows |
| SrcUserType | Optioneel | Gebruikerstype | Het type brongebruiker. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Bijvoorbeeld: Guest |
| SrcOriginalUserType | Optioneel | String | Het oorspronkelijke type brongebruiker, indien opgegeven door de bron. |
| SrcMacAddr | Verplicht | Mac-adres | Het MAC-adres van de client die een DHCP-lease aanvraagt. Opmerking: De Windows DHCP-server registreert MAC-adres op een niet-standaard manier, waarbij de dubbele punten worden weggelaten, die door de parser moeten worden ingevoegd. Voorbeeld: 06:10:9f:eb:8f:14 |
| SrcUserScope | Optioneel | String | Het bereik, zoals Microsoft Entra-tenant, waarin SrcUserId en SrcUsername worden gedefinieerd. of meer informatie en lijst met toegestane waarden, zie UserScope in het artikel Schemaoverzicht. |
| SrcUserScopeId | Optioneel | String | De bereik-id, zoals Microsoft Entra Directory-id, waarin SrcUserId en SrcUsername worden gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| SrcUserSessionId | Optioneel | String | De unieke id van de aanmeldingssessie van de actor. Voorbeeld: 102pTUgC3p8RIqHvzxLCHnFlg |
Inspectievelden
| Veld | Klas | Type | Notes |
|---|---|---|---|
| Regel | Alias | tekenreeks | De waarde van RuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| RuleNumber | Optioneel | int | Het nummer van de regel die aan de waarschuwing is gekoppeld. bijvoorbeeld. 123456 |
| RuleName | Optioneel | tekenreeks | De naam of id van de regel die aan de waarschuwing is gekoppeld. bijvoorbeeld. Server PSEXEC Execution via Remote Access |
| ThreatId | Optioneel | tekenreeks | De id van de bedreiging of malware die in de waarschuwing is geïdentificeerd. bijvoorbeeld. 1234567891011121314 |
| Naam bedreiging | Optioneel | tekenreeks | De naam van de bedreiging of malware die in de waarschuwing is geïdentificeerd. bijvoorbeeld. Init.exe |
| ThreatFirstReportedTime | Optioneel | Datum/tijd | Datum en tijd waarop de bedreiging voor het eerst werd gerapporteerd. bijvoorbeeld. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Optioneel | Datum/tijd | Datum en tijd waarop de bedreiging voor het laatst is gerapporteerd. bijvoorbeeld. 2024-09-19T10:12:10.0000000Z |
| Bedreigingscategorie | Optioneel | String | De categorie van de bedreiging of malware die in de waarschuwing is geïdentificeerd. Ondersteunde waarden zijn: Malware, Ransomware, Trojan, , VirusWormAdwareSpywareRootkitCryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| ThreatIsActive | Optioneel | bool | Geeft aan of de bedreiging momenteel actief is. Ondersteunde waarden zijn: True, False |
| BedreigingRisiconiveau | Optioneel | RiskLevel (Integer) | Het risiconiveau dat aan de bedreiging is gekoppeld. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd voor deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Optioneel | tekenreeks | Het risiconiveau zoals gerapporteerd door het oorspronkelijke systeem. |
| BedreigingVertrouwen | Optioneel | Betrouwbaarheidsniveau (geheel getal) | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en 100. |
| BedreigingOrigineelVertrouwen | Optioneel | tekenreeks | Het betrouwbaarheidsniveau zoals gerapporteerd door het oorspronkelijke systeem. |
Schema-updates
De volgende wijzigingen in versie 0.1.1 van het schema:
- Inspectievelden toegevoegd.
- De bron-geolocatievelden toegevoegd.
- De bronvelden toegevoegd:
SrcDescription,SrcOriginalRiskLevel, ,SrcOriginalUserType,SrcPortNumberSrcRiskLevel,SrcUserScopeSrcUserScopeId, ,SrcUserSessionId``SrcUserUid - De aliassen
SrcenUser - De velden
SrcUserUidenThreatFieldzijn beschikbaar in deASimDhcpEventLogstabel, maar maken geen deel uit van het schema.
Volgende stappen
Zie voor meer informatie: