Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Model informacji DHCP służy do opisywania zdarzeń zgłaszanych przez serwer DHCP i jest używany przez Microsoft Sentinel do włączania analizy niezależnych od źródła.
Aby uzyskać więcej informacji, zobacz Normalization and the Advanced Security Information Model (ASIM) (Normalizacja i zaawansowany model informacji o zabezpieczeniach (ASIM).
Parsery
Aby uzyskać więcej informacji na temat analizatorów ASIM, zobacz omówienie analizatorów ASIM.
Filtrowanie parametrów analizatora
Analizatory DHCP obsługują parametry filtrowania. Te parametry są opcjonalne, ale mogą zwiększyć wydajność zapytania.
Dostępne są następujące parametry filtrowania:
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Starttime | Datetime | Filtruj tylko zdarzenia DHCP, które wystąpiły o tej godzinie lub później. Ten parametr filtruje TimeGenerated pole, które jest standardowym projektantem czasu zdarzenia, niezależnie od mapowania specyficznego dla analizatora pól EventStartTime i EventEndTime. |
| Endtime | Datetime | Filtruj tylko zdarzenia DHCP, które wystąpiły o tej godzinie lub przed tą godziną. Ten parametr filtruje TimeGenerated pole, które jest standardowym projektantem czasu zdarzenia, niezależnie od mapowania specyficznego dla analizatora pól EventStartTime i EventEndTime. |
| srcipaddr_has_any_prefix | Dynamiczne | Filtruj tylko zdarzenia DHCP, w których prefiks źródłowego adresu IP jest zgodny z dowolną z wymienionych wartości. Prefiksy powinny kończyć się wartością ., na przykład: 10.0.. |
| srchostname_has_any | Dynamiczne | Filtruj tylko zdarzenia DHCP, w których źródłowa nazwa hosta ma dowolną z wymienionych wartości. |
| srcusername_has_any | Dynamiczne | Filtruj tylko zdarzenia DHCP, w których źródłowa nazwa użytkownika ma dowolną z wymienionych wartości. |
| eventresult | ciąg | Filtruj tylko zdarzenia DHCP z określonym wynikiem zdarzenia. Użyj polecenia * , aby uwzględnić wszystkie wyniki. |
Aby na przykład filtrować tylko zdarzenia DHCP z określonego zakresu adresów IP w ostatnim dniu, użyj:
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
Omówienie schematu
Schemat DHCP usługi ASIM reprezentuje działanie serwera DHCP, w tym obsługę żądań adresów IP DHCP dzierżawionych z systemów klienckich i aktualizowanie serwera DNS przy użyciu udzielonych dzierżaw.
Najważniejsze pola w zdarzeniu DHCP to SrcIpAddr i SrcHostname, które serwer DHCP wiąże przez udzielenie dzierżawy i są aliasowane odpowiednio przez pola IpAddr i Nazwa hosta . Pole SrcMacAddr jest również ważne, ponieważ reprezentuje maszynę kliencką używaną, gdy adres IP nie jest dzierżawiony.
Serwer DHCP może odrzucić klienta z powodu problemów z zabezpieczeniami lub z powodu nasycenia sieci. Może również poddać klientowi kwarantannę przez dzierżawę adresu IP, który połączy go z ograniczoną siecią. Pola EventResult, EventResultDetails i DvcAction zawierają informacje o odpowiedzi i akcji serwera DHCP.
Czas trwania dzierżawy jest przechowywany w polu DhcpLeaseDuration .
Szczegóły schematu
Usługa ASIM jest zgodna z projektem open source security events metadata (OSSEM).
OSSEM nie ma schematu DHCP porównywalnego ze schematem DHCP ASIM.
Typowe pola usługi ASIM
Ważna
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Pola wspólne usługi ASIM ).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń DHCP:
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| EventType | Obowiązkowe | Wyliczane | Wskaż operację zgłoszoną przez rekord. Możliwe wartości to Assign, Renew, Releasei DNS Update. Przykład: Assign |
| EventSchemaVersion | Obowiązkowe | SchemaVersion (ciąg) | Wersja schematu udokumentowana w tym miejscu to 0.1.1. |
| EventSchema | Obowiązkowe | Ciąg | Nazwa schematu udokumentowana w tym artykule DhcpEvent. |
| Pola dvc | - | - | W przypadku zdarzeń DHCP pola urządzenia odnoszą się do systemu, który zgłasza zdarzenie DHCP. |
Wszystkie typowe pola
Pola wyświetlane w tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być opcjonalne ogólnie, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zobacz artykuł ASIM Common Fields (Typowe pola usługi ASIM ).
| Klasa | Pola |
|---|---|
| Obowiązkowe |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Zalecane |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcjonalny |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Pola dodatkowe - DvcDescription - DvcScopeId - DvcScope |
Pola specyficzne dla protokołu DHCP
| Pole | Klasa | Type | Uwagi |
|---|---|---|---|
| DhcpLeaseDuration | Opcjonalny | Liczba całkowita | Długość dzierżawy udzielonej klientowi w sekundach. |
| DhcpSessionId | Opcjonalny | ciąg | Identyfikator sesji zgłoszony przez urządzenie raportowania. Dla serwera DHCP systemu Windows ustaw wartość pola TransactionID. Przykład: 2099570186 |
| Sessionid | Alias | Ciąg | Alias do dhcpSessionId |
| DhcpSessionDuration | Opcjonalny | Liczba całkowita | Ilość czasu w milisekundach na ukończenie sesji DHCP. Przykład: 1500 |
| Długość | Alias | Alias do dhcpSessionDuration | |
| DhcpSrcDHCId | Opcjonalny | Ciąg | Identyfikator klienta DHCP zdefiniowany przez RFC4701 |
| DhcpCircuitId | Opcjonalny | Ciąg | Identyfikator obwodu DHCP zdefiniowany przez RFC3046 |
| DhcpSubscriberId | Opcjonalny | Ciąg | Identyfikator subskrybenta DHCP zdefiniowany przez RFC3993 |
| DhcpVendorClassId | Opcjonalny | Ciąg | Identyfikator klasy dostawcy DHCP zdefiniowany przez RFC3925. |
| DhcpVendorClass | Opcjonalny | Ciąg | Klasa dostawcy DHCP zdefiniowana przez RFC3925. |
| DhcpUserClassId | Opcjonalny | Ciąg | Identyfikator klasy użytkownika DHCP zdefiniowany przez RFC3004. |
| DhcpUserClass | Opcjonalny | Ciąg | Klasa użytkownika DHCP zdefiniowana przez RFC3004. |
| RequestedIpAddr | Opcjonalny | Adres IP | Adres IP żądany przez klienta DHCP, jeśli jest dostępny. Przykład: 192.168.12.3 |
Pola systemu źródłowego
System źródłowy to system, który żąda dzierżawy DHCP
| Pole | Klasa | Type | Uwagi |
|---|---|---|---|
| Src | Alias | Ciąg | Unikatowy identyfikator urządzenia źródłowego. To pole może mieć alias pól SrcDvcId, SrcHostname lub SrcIpAddr . Przykład: 192.168.12.1 |
| SrcIpAddr | Obowiązkowe | Adres IP | Adres IP przypisany do klienta przez serwer DHCP. Przykład: 192.168.12.1 |
| IpAddr | Alias | Alias dla SrcIpAddr | |
| SrcHostname | Obowiązkowe | Nazwa hosta (ciąg) | Nazwa hosta urządzenia żądającego dzierżawy DHCP. Jeśli nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. Przykład: DESKTOP-1282V4D |
| Nazwa hosta | Alias | Alias dla nazwy SrcHostname | |
| SrcDomain | Zalecane | Domena (ciąg) | Domena urządzenia źródłowego. Przykład: Contoso |
| SrcDomainType | Warunkowe | Wyliczane | Typ SrcDomain, jeśli jest znany. Możliwe wartości obejmują: - Windows (na przykład: contoso)- FQDN (na przykład: microsoft.com)Wymagane, jeśli jest używana domena SrcDomain . |
| SrcFQDN | Opcjonalny | FQDN (ciąg) | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, jeśli są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: Contoso\DESKTOP-1282V4D |
| Identyfikator SrcDvcId | Opcjonalny | Ciąg | Identyfikator urządzenia źródłowego zgłoszony w rekordzie. Przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcjonalny | Ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| SrcDvcScope | Opcjonalny | Ciąg | Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na Azure i na identyfikator konta na platformie AWS. |
| SrcDvcIdType | Warunkowe | Wyliczane | Typ SrcDvcId, jeśli jest znany. Możliwe wartości obejmują: - AzureResourceId- MDEidJeśli dostępnych jest wiele identyfikatorów, użyj pierwszego z powyższej listy i zapisz pozostałe w odpowiednio SrcDvcAzureResourceId i SrcDvcMDEid. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId . |
| SrcDeviceType | Opcjonalny | Wyliczane | Typ urządzenia źródłowego. Możliwe wartości obejmują: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Opcjonalny | Ciąg | Opisowy tekst skojarzony z urządzeniem. Przykład: Primary Domain Controller. |
| SrcGeoCountry | Opcjonalny | Kraj | Kraj/region skojarzony ze źródłowym adresem IP. Przykład: USA |
| SrcGeoRegion | Opcjonalny | Region | Region skojarzony ze źródłowym adresem IP. Przykład: Vermont |
| SrcGeoCity | Opcjonalny | Miasto | Miasto skojarzone ze źródłowym adresem IP. Przykład: Burlington |
| SrcGeoLatitude | Opcjonalny | Szerokość geograficzna | Szerokość geograficzna współrzędnej skojarzonej ze źródłowym adresem IP. Przykład: 44.475833 |
| SrcGeoLongitude | Opcjonalny | Długość geograficzna | Długość geograficzna współrzędnej skojarzonej ze źródłowym adresem IP. Przykład: 73.211944 |
| SrcRiskLevel | Opcjonalny | Liczba całkowita | Poziom ryzyka skojarzony ze źródłem. Wartość powinna być dostosowana do zakresu 0 do 100, z 0 dla niegroźnych i 100 dla wysokiego ryzyka.Przykład: 90 |
| SrcOriginalRiskLevel | Opcjonalny | Ciąg | Poziom ryzyka skojarzony ze źródłem, zgłoszony przez urządzenie raportowania. Przykład: Suspicious |
| SrcPortNumber | Opcjonalny | Liczba całkowita | Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji obejmującej wiele połączeń. Przykład: 2335 |
Pola użytkownika źródłowego
| Pole | Klasa | Type | Uwagi |
|---|---|---|---|
| Identyfikator SrcUserId | Opcjonalny | Ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. Aby uzyskać więcej informacji i w przypadku pól alternatywnych dla dodatkowych identyfikatorów, zobacz Jednostka Użytkownik. Przykład: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Warunkowe | UserIdType | Typ identyfikatora przechowywanego w polu SrcUserId . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserIdType w artykule Omówienie schematu. |
| SrcUsername | Opcjonalny | Nazwa użytkownika (ciąg) | Nazwa użytkownika źródła, w tym informacje o domenie, jeśli są dostępne. Aby uzyskać więcej informacji, zobacz jednostka Użytkownik. Przykład: AlbertE |
| Użytkownik | Alias | Alias dla nazwy SrcUsername | |
| SrcUsernameType | Warunkowe | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu SrcUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UsernameType w artykule Omówienie schematu. Przykład: Windows |
| SrcUserType | Opcjonalny | Usertype | Typ użytkownika źródłowego. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserType w artykule Omówienie schematu. Przykład: Guest |
| SrcOriginalUserType | Opcjonalny | Ciąg | Oryginalny typ użytkownika źródłowego, jeśli jest dostarczany przez źródło. |
| SrcMacAddr | Obowiązkowe | Adres Mac | Adres MAC klienta żądającego dzierżawy DHCP. Uwaga: serwer DHCP systemu Windows rejestruje adres MAC w niestandardowy sposób, pomijając dwukropki, które powinny zostać wstawione przez analizator. Przykład: 06:10:9f:eb:8f:14 |
| SrcUserScope | Opcjonalny | Ciąg | Zakres, taki jak dzierżawa Microsoft Entra, w którym zdefiniowano wartości SrcUserId i SrcUsername. lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| SrcUserScopeId | Opcjonalny | Ciąg | Identyfikator zakresu, taki jak identyfikator katalogu Microsoft Entra, w którym zdefiniowano SrcUserId i SrcUsername. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
| SrcUserSessionId | Opcjonalny | Ciąg | Unikatowy identyfikator sesji logowania aktora. Przykład: 102pTUgC3p8RIqHvzxLCHnFlg |
Pola inspekcji
| Pole | Klasa | Type | Uwagi |
|---|---|---|---|
| Reguły | Alias | ciąg | Wartość ruleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber, typ powinien zostać przekonwertowany na ciąg. |
| Numer reguły | Opcjonalny | Int | Liczba reguł skojarzonych z alertem. Przykład. 123456 |
| Rulename | Opcjonalny | ciąg | Nazwa lub identyfikator reguły skojarzonej z alertem. Przykład. Server PSEXEC Execution via Remote Access |
| ThreatId | Opcjonalny | ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w alercie. Przykład. 1234567891011121314 |
| ThreatCategory | Opcjonalny | Ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowana w alercie. Obsługiwane wartości to: , , , , , , , , Rootkit, Cryptominor, Phishing, Spam, MaliciousUrl, , Spoofing, , , Security Policy ViolationSpywareAdwareWormVirusTrojanRansomwareMalwareUnknown |
| ThreatName | Opcjonalny | ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w alercie. Przykład. Init.exe |
| ThreatConfidence | Opcjonalny | ConfidenceLevel (liczba całkowita) | Poziom ufności zidentyfikowanego zagrożenia znormalizowany do wartości od 0 do 100. |
| ThreatOriginalConfidence | Opcjonalny | ciąg | Poziom ufności zgłoszony przez system źródłowy. |
| ThreatRiskLevel | Opcjonalny | RiskLevel (liczba całkowita) | Poziom ryzyka skojarzony z zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może zostać podana w rekordzie źródłowym przy użyciu innej skali, która powinna zostać znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w witrynie ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcjonalny | ciąg | Poziom ryzyka zgłoszony przez system źródłowy. |
| ThreatIsActive | Opcjonalny | Bool | Wskazuje, czy zagrożenie jest obecnie aktywne. Obsługiwane wartości to: True, False |
| ThreatFirstReportedTime | Opcjonalny | Data/godzina | Data i godzina pierwszego zgłoszenia zagrożenia. Przykład. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcjonalny | Data/godzina | Data i godzina ostatniego zgłoszenia zagrożenia. Przykład. 2024-09-19T10:12:10.0000000Z |
Aktualizacje schematu
Poniżej przedstawiono zmiany w wersji 0.1.1 schematu:
- Dodano pola inspekcji.
- Dodano źródłowe pola lokalizacji geograficznej.
- Dodano pola źródłowe:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType, ,SrcPortNumber,SrcRiskLevel,SrcUserScope,SrcUserScopeIdSrcUserSessionId``SrcUserUid - Dodano aliasy
SrciUser - Pola
SrcUserUidiThreatFieldsą dostępne wASimDhcpEventLogstabeli, ale nie są częścią schematu.
Zawartość pokrewna
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- seminarium internetowe Azure Sentinel: Normalizacja Model-Understanding informacji w Azure Sentinel