Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O modelo de informações DHCP é utilizado para descrever eventos comunicados por um servidor DHCP e é utilizado por Microsoft Sentinel para ativar a análise agnóstica de origem.
Para obter mais informações, veja Normalização e Modelo avançado de informações de segurança (ASIM).
Analisadores
Para obter mais informações sobre os analisadores do ASIM, veja Descrição geral dos analisadores do ASIM.
Filtrar parâmetros do analisador
Os analisadores DHCP suportam parâmetros de filtragem. Embora estes parâmetros sejam opcionais, podem melhorar o desempenho da consulta.
Estão disponíveis os seguintes parâmetros de filtragem:
| Name | Tipo | Descrição |
|---|---|---|
| hora de início | datetime | Filtre apenas os eventos DHCP que ocorreram em ou depois deste momento. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| endtime | datetime | Filtre apenas os eventos DHCP que ocorreram em ou antes deste momento. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| srcipaddr_has_any_prefix | dinâmico | Filtre apenas eventos DHCP em que o prefixo do endereço IP de origem corresponda a qualquer um dos valores listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. |
| srchostname_has_any | dinâmico | Filtre apenas eventos DHCP em que o nome do anfitrião de origem tem qualquer um dos valores listados. |
| srcusername_has_any | dinâmico | Filtre apenas eventos DHCP em que o nome de utilizador de origem tem qualquer um dos valores listados. |
| eventresult | cadeia | Filtre apenas eventos DHCP com um resultado de evento específico. Utilizado * para incluir todos os resultados. |
Por exemplo, para filtrar apenas eventos DHCP de um intervalo de endereços IP específico no último dia, utilize:
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
Descrição geral do esquema
O esquema DHCP do ASIM representa a atividade do servidor DHCP, incluindo pedidos de endereço IP DHCP concedidos a partir de sistemas cliente e atualização de um servidor DNS com as concessões concedidas.
Os campos mais importantes num evento DHCP são SrcIpAddr e SrcHostname, que o servidor DHCP vincula ao conceder a concessão e são aliasados pelos campos IpAddr e Hostname , respetivamente. O campo SrcMacAddr também é importante, uma vez que representa o computador cliente utilizado quando um endereço IP não é concedido.
Um servidor DHCP pode rejeitar um cliente, devido a questões de segurança ou devido a saturação da rede. Também pode colocar um cliente em quarentena ao alugar-lhe um endereço IP que o ligaria a uma rede limitada. Os campos EventResult, EventResultDetails e DvcAction fornecem informações sobre a ação e a resposta do servidor DHCP.
A duração de uma concessão é armazenada no campo DhcpLeaseDuration .
Detalhes do esquema
O ASIM está alinhado com o projeto OSSEM (Open Source Security Events Metadata).
O OSSEM não tem um esquema DHCP comparável ao esquema ASIM DHCP.
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhe no artigo Campos Comuns do ASIM .
Campos Comuns com diretrizes específicas
A lista seguinte menciona campos que têm diretrizes específicas para eventos DHCP:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerado | Indique a operação comunicada pelo registo. Os valores possíveis são Assign, Renew, Releasee DNS Update. Exemplo: Assign |
| EventSchemaVersion | Obrigatório | SchemaVersion (Cadeia) | A versão do esquema documentada aqui é 0.1.1. |
| EventSchema | Obrigatório | Cadeia | O nome do esquema documentado aqui é DhcpEvent. |
| Campos dvc | - | - | Para eventos DHCP, os campos do dispositivo referem-se ao sistema que comunica o evento DHCP. |
Todos os campos comuns
Os campos que aparecem na tabela são comuns a todos os esquemas ASIM. Qualquer orientação especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, veja o artigo Campos Comuns do ASIM .
| Classe | Campos |
|---|---|
| Obrigatório |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventoSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope |
Campos específicos de DHCP
| Campo | Classe | Tipo | Notas |
|---|---|---|---|
| DhcpLeaseDuration | Opcional | Número inteiro | A duração da concessão concedida a um cliente, em segundos. |
| DhcpSessionId | Opcional | cadeia | O identificador da sessão, conforme comunicado pelo dispositivo de relatório. Para o servidor DHCP do Windows, defina-o como o campo TransactionID. Exemplo: 2099570186 |
| SessionId | Alias | Cadeia | Alias para DhcpSessionId |
| DhcpSessionDuration | Opcional | Número inteiro | A quantidade de tempo, em milissegundos, para a conclusão da sessão DHCP. Exemplo: 1500 |
| Duração | Alias | Alias to DhcpSessionDuration | |
| DhcpsrcDHCId | Opcional | Cadeia | O ID de cliente DHCP, conforme definido por RFC4701 |
| DhcpCircuitId | Opcional | Cadeia | O ID do circuito DHCP, conforme definido pelo RFC3046 |
| DhcpSubscriberId | Opcional | Cadeia | O ID de subscritor DHCP, conforme definido por RFC3993 |
| DhcpVendorClassId | Opcional | Cadeia | O ID de Classe do Fornecedor DHCP, conforme definido por RFC3925. |
| DhcpVendorClass | Opcional | Cadeia | A Classe de Fornecedor DHCP, conforme definido por RFC3925. |
| DhcpUserClassId | Opcional | Cadeia | O ID de Classe de Utilizador DHCP, conforme definido por RFC3004. |
| DhcpUserClass | Opcional | Cadeia | A Classe de Utilizador DHCP, conforme definido por RFC3004. |
| RequestedIpAddr | Opcional | Endereço IP | O endereço IP pedido pelo cliente DHCP, quando disponível. Exemplo: 192.168.12.3 |
Campos do sistema de origem
O sistema de origem é o sistema que pede uma concessão DHCP
| Campo | Classe | Tipo | Notas |
|---|---|---|---|
| Src | Alias | Cadeia | Um identificador exclusivo do dispositivo de origem. Este campo pode alias os campos SrcDvcId, SrcHostname ou SrcIpAddr . Exemplo: 192.168.12.1 |
| SrcIpAddr | Obrigatório | Endereço IP | O endereço IP atribuído ao cliente pelo servidor DHCP. Exemplo: 192.168.12.1 |
| IpAddr | Alias | Alias para SrcIpAddr | |
| SrcHostname | Obrigatório | Nome do anfitrião (Cadeia) | O nome do anfitrião do dispositivo que pede a concessão dhCP. Se não estiver disponível nenhum nome de dispositivo, armazene o endereço IP relevante neste campo. Exemplo: DESKTOP-1282V4D |
| Nome do anfitrião | Alias | Alias para SrcHostname | |
| SrcDomain | Recomendado | Domínio (Cadeia) | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | Enumerado | O tipo de SrcDomain, se conhecido. Os valores possíveis incluem: - Windows (como: contoso)- FQDN (como: microsoft.com)Necessário se o SrcDomain for utilizado. |
| SrcFQDN | Opcional | FQDN (Cadeia) | O nome do anfitrião do dispositivo de origem, incluindo informações de domínio quando disponível. Nota: este campo suporta o formato FQDN tradicional e o formato de domínio/nome do anfitrião do Windows. O campo SrcDomainType reflete o formato utilizado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcional | Cadeia | O ID do dispositivo de origem, conforme comunicado no registo. Por exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | Cadeia | O ID de âmbito da plataforma na cloud ao qual o dispositivo pertence. O mapa SrcDvcScopeId é mapeado para um ID de subscrição no Azure e para um ID de conta no AWS. |
| SrcDvcScope | Opcional | Cadeia | O âmbito da plataforma na cloud ao qual o dispositivo pertence. O SrcDvcScope mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
| SrcDvcIdType | Condicional | Enumerado | O tipo de SrcDvcId, se conhecido. Os valores possíveis incluem: - AzureResourceId- MDEidSe estiverem disponíveis vários IDs, utilize o primeiro da lista acima e armazene os outros no SrcDvcAzureResourceId e SrcDvcMDEid, respetivamente. Nota: este campo é necessário se o SrcDvcId for utilizado. |
| SrcDeviceType | Opcional | Enumerado | O tipo do dispositivo de origem. Os valores possíveis incluem: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Opcional | Cadeia | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| SrcGeoCountry | Opcional | País/Região | O país/região associado ao endereço IP de origem. Exemplo: USA |
| SrcGeoRegion | Opcional | Região | A região associada ao endereço IP de origem. Exemplo: Vermont |
| SrcGeoCity | Opcional | Localidade | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
| SrcRiskLevel | Opcional | Número inteiro | O nível de risco associado à origem. O valor deve ser ajustado para um intervalo de 0 para , com 0 para benigno e 100 para 100um risco elevado.Exemplo: 90 |
| SrcOriginalRiskLevel | Opcional | Cadeia | O nível de risco associado à origem, conforme comunicado pelo dispositivo de relatório. Exemplo: Suspicious |
| SrcPortNumber | Opcional | Número inteiro | A porta IP a partir da qual a ligação teve origem. Pode não ser relevante para uma sessão que inclua várias ligações. Exemplo: 2335 |
Campos de utilizador de origem
| Campo | Classe | Tipo | Notas |
|---|---|---|---|
| SrcUserId | Opcional | Cadeia | Uma representação exclusiva, alfanumérica e legível pelo computador do utilizador de origem. Para obter mais informações e campos alternativos para IDs adicionais, veja A entidade Utilizador. Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Condicional | UserIdType | O tipo do ID armazenado no campo SrcUserId . Para obter mais informações e lista de valores permitidos, veja UserIdType no artigo Descrição Geral do Esquema. |
| SrcUsername | Opcional | Nome de utilizador (Cadeia) | O nome de utilizador de origem, incluindo informações de domínio quando disponíveis. Para obter mais informações, veja A entidade Utilizador. Exemplo: AlbertE |
| Utilizador | Alias | Alias para SrcUsername | |
| SrcUsernameType | Condicional | UsernameType | Especifica o tipo do nome de utilizador armazenado no campo SrcUsername . Para obter mais informações e lista de valores permitidos, veja UsernameType no artigo Descrição Geral do Esquema. Exemplo: Windows |
| SrcUserType | Opcional | UserType | O tipo de utilizador de origem. Para obter mais informações e lista de valores permitidos, veja UserType no artigo Descrição Geral do Esquema. Por exemplo: Guest |
| SrcOriginalUserType | Opcional | Cadeia | O tipo de utilizador de origem original, se for fornecido pela origem. |
| SrcMacAddr | Obrigatório | Endereço Mac | O endereço MAC do cliente que pede uma concessão DHCP. Nota: o servidor DHCP do Windows regista o endereço MAC de forma não padrão, omitindo os dois pontos, que devem ser inseridos pelo analisador. Exemplo: 06:10:9f:eb:8f:14 |
| SrcUserScope | Opcional | Cadeia | O âmbito, como Microsoft Entra inquilino, no qual são definidos SrcUserId e SrcUsername. ou mais informações e lista de valores permitidos, veja UserScope no artigo Descrição Geral do Esquema. |
| SrcUserScopeId | Opcional | Cadeia | O ID de âmbito, como Microsoft Entra ID do Diretório, no qual são definidos SrcUserId e SrcUsername. para obter mais informações e lista de valores permitidos, veja UserScopeId no artigo Descrição Geral do Esquema. |
| SrcUserSessionId | Opcional | Cadeia | O ID exclusivo da sessão de início de sessão do Ator. Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos de inspeção
| Campo | Classe | Tipo | Notas |
|---|---|---|---|
| Regra | Alias | cadeia | O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for utilizado, o tipo deve ser convertido em cadeia. |
| RuleNumber | Opcional | int | O número da regra associada ao alerta. Por exemplo, 123456 |
| RuleName | Opcional | cadeia | O nome ou ID da regra associada ao alerta. Por exemplo, Server PSEXEC Execution via Remote Access |
| ThreatId | Opcional | cadeia | O ID da ameaça ou software maligno identificado no alerta. Por exemplo, 1234567891011121314 |
| ThreatCategory | Opcional | Cadeia | A categoria da ameaça ou software maligno identificado no alerta. Os valores suportados são: Malware, , Ransomware, Trojan, Virus, Worm, SpywareAdware, Rootkit, Cryptominor, , Phishing, Spam, , MaliciousUrl, , Spoofing, , Security Policy ViolationUnknown |
| ThreatName | Opcional | cadeia | O nome da ameaça ou software maligno identificado no alerta. Por exemplo, Init.exe |
| ThreatConfidence | Opcional | ConfidenceLevel (Número Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | cadeia | O nível de confiança, conforme comunicado pelo sistema de origem. |
| ThreatRiskLevel | Opcional | RiskLevel (Número Inteiro) | O nível de risco associado à ameaça. O nível deve ser um número entre 0 e 100. Nota: o valor pode ser fornecido no registo de origem com uma escala diferente, que deve ser normalizada para esta escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | cadeia | O nível de risco, conforme comunicado pelo sistema de origem. |
| ThreatIsActive | Opcional | bool | Indica se a ameaça está atualmente ativa. Os valores suportados são: True, False |
| ThreatFirstReportedTime | Opcional | Data/Hora | Data e hora em que a ameaça foi reportada pela primeira vez. Por exemplo, 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcional | Data/Hora | Data e hora em que a ameaça foi reportada pela última vez. Por exemplo, 2024-09-19T10:12:10.0000000Z |
Atualizações de esquema
Seguem-se as alterações na versão 0.1.1 do esquema:
- Campos de inspeção adicionados.
- Foram adicionados os campos de geolocalização de origem.
- Foram adicionados os campos de origem:
SrcDescription, ,SrcOriginalUserTypeSrcOriginalRiskLevel,SrcPortNumber,SrcRiskLevel,SrcUserScope, ,SrcUserScopeIdSrcUserSessionId``SrcUserUid - Foram adicionados os aliases
SrceUser - Os campos
SrcUserUideThreatFieldestão disponíveis naASimDhcpEventLogstabela, mas não fazem parte do esquema.
Passos seguintes
Para mais informações, consulte:
- Ver o Webinar do ASIM ou rever os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)