Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Информационная модель DHCP служит для описания событий, передаваемых DHCP-сервером, и используется в Microsoft Sentinel для реализации не зависящих от источника возможностей анализа.
Дополнительные сведения см. в статье Нормализация и информационная модель повышенной безопасности (ASIM).
Средства синтаксического анализа
Дополнительные сведения о средствах синтаксического анализа ASIM см. в обзоре средств синтаксического анализа ASIM.
Параметры фильтрации средств синтаксического анализа
Средства синтаксического анализа DHCP поддерживают фильтрацию параметров. Хотя эти параметры являются необязательными, они могут повысить производительность запросов.
Доступны следующие параметры фильтрации:
| Имя | Тип | Description |
|---|---|---|
| starttime | datetime | Фильтрация только событий DHCP, произошедших в это время или после этого. Этот параметр фильтрует TimeGenerated поле, являющееся стандартным конструктором во время события, независимо от сопоставления конкретных анализаторов полей EventStartTime и EventEndTime. |
| endtime | datetime | Отфильтруйте только события DHCP, которые произошли до этого времени. Этот параметр фильтрует TimeGenerated поле, являющееся стандартным конструктором во время события, независимо от сопоставления конкретных анализаторов полей EventStartTime и EventEndTime. |
| srcipaddr_has_any_prefix | dynamic | Фильтруйте только события DHCP, в которых префикс исходного IP-адреса соответствует любому из перечисленных значений. Префиксы должны заканчиваться на ., например: 10.0.. |
| srchostname_has_any | dynamic | Фильтруйте только события DHCP, в которых имя исходного узла имеет любое из перечисленных значений. |
| srcusername_has_any | dynamic | Фильтруйте только события DHCP, в которых исходное имя пользователя имеет любое из перечисленных значений. |
| eventresult | строка | Фильтруйте только события DHCP с определенным результатом события. Используется * для включения всех результатов. |
Например, чтобы отфильтровать только события DHCP из определенного диапазона IP-адресов в последний день, используйте следующую команду:
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
Общее представление схемы
Схема DHCP ASIM представляет активность DHCP-сервера, включают обслуживание запросов для IP-адресов DHCP, арендуемых у клиентских систем, и обновление DNS-сервера с учетом IP-адресов, предоставленных в аренду.
Наиболее важными полями события DHCP являются SrcIpAddr и SrcHostname, которые сервер DHCP привязывает, предоставляя аренду и добавляя псевдонимы в поля IpAddr и HostName соответственно. Поле SrcMacAddr также важно, так как оно представляет клиентский компьютер, используемый при не аренде IP-адреса.
DHCP-сервер может отклонить клиента из-за проблем с безопасностью или насыщенности сети. Он также может помещать клиент в карантин, арендовав ему IP-адреса, который будет подключаться к ограниченной сети. Поля EventResult, EventResultDetails и DvcAction содержат сведения об ответе и действии DHCP-сервера.
Длительность аренды хранится в поле DhcpLeaseDuration.
Сведения о схеме
ASIM соответствует проекту Open Source Security Events Metadata (OSSEM).
OSSEM не имеет схемы DHCP, сравнимой со схемой DHCP ASIM.
Общие поля ASIM
Внимание
Поля, общие для всех схем, подробно описаны в статье Общие поля ASIM.
Общие поля с конкретными рекомендациями
В следующем списке упоминаются поля, имеющие определенные рекомендации по обработке событий DHCP:
| Поле | Class | Тип | Description |
|---|---|---|---|
| EventType | Обязательно | Enumerated | Указывает на операцию, о которой сообщает эта запись. Возможные значения: Assign, Renew, Release и DNS Update. Пример: Assign |
| EventSchemaVersion | Обязательно | SchemaVersion (String) | Версия схемы, задокументированная здесь, — 0.1.1. |
| EventSchema | Обязательно | Строка | Имя схемы, описанной здесь dhcpEvent. |
| Поля Dvc | - | - | Для событий DHCP поля устройства ссылаются на систему, которая сообщает о событии DHCP. |
Все общие поля
Поля, отображаемые в таблице, являются общими для всех схем ASIM. Все указанные выше рекомендации переопределяют общие рекомендации для поля. Например, поле может быть необязательным в целом, но обязательным для конкретной схемы. Дополнительные сведения о каждом поле см. в статье "Общие поля ASIM ".
Специальные поля DHCP
| Поле | Class | Тип | Примечания |
|---|---|---|---|
| DhcpLeaseДлительность | Необязательно | Целое | Длительность аренды, предоставленной клиенту, в секундах. |
| DhcpSessionId | Необязательно | строка | Идентификатор сеанса, сообщаемый устройством составления отчетов. Для DHCP-сервера Windows установите значение в поле TransactionID. Пример: 2099570186 |
| SessionId | Псевдоним | Строка | Псевдоним dhcpSessionId |
| DhcpСессияДлительность | Необязательно | Целое | Время в миллисекундах, необходимое для завершения сеанса DHCP. Пример: 1500 |
| Длительность | Псевдоним | Псевдоним для DhcpSessionDuration | |
| DhcpSrcDHCId | Необязательно | Строка | Идентификатор DHCP-клиента в соответствии с определением в RFC4701. |
| DhcpCircuitId | Необязательно | Строка | Идентификатор цепи DHCP в соответствии с определением в RFC3046. |
| DhcpSubscriberId | Необязательно | Строка | Идентификатор подписчика DHCP в соответствии с определением в RFC3993. |
| DhcpVendorClassId | Необязательно | Строка | Идентификатор класса поставщика DHCP в соответствии с определением в RFC3925. |
| DhcpVendorClass | Необязательно | Строка | Класс поставщика DHCP в соответствии с определением в RFC3925. |
| DhcpUserClassId | Необязательно | Строка | Идентификатор класса пользователя DHCP, определенный RFC3004. |
| DhcpUserClass | Необязательно | Строка | Класс пользователя DHCP в соответствии с определением в RFC3004. |
| ЗапрошенныйIpAddr | Необязательно | IP-адрес | IP-адрес, запрошенный клиентом DHCP, если он доступен. Пример: 192.168.12.3 |
Поля исходной системы
Исходная система — это система, которая запрашивает DHCP-аренду
| Поле | Class | Тип | Примечания |
|---|---|---|---|
| Источник: | Псевдоним | Строка | Уникальный идентификатор исходного устройства. Это поле может быть псевдонимом для полей SrcDvcId, SrcHostname или SrcIpAddr. Пример: 192.168.12.1 |
| SrcIpAddr | Обязательно | IP-адрес | IP-адрес, назначенный клиенту DHCP-сервером. Пример: 192.168.12.1 |
| IpAddr | Псевдоним | Псевдоним для SrcIpAddr | |
| SrcHostname (Имя хоста) | Обязательно | Имя хозяина (строка) | Имя узла устройства, запрашивающего аренду DHCP. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес. Пример: DESKTOP-1282V4D |
| Имя узла | Псевдоним | Псевдоним для SrcHostname | |
| SrcDomain | Рекомендуемая конфигурация | Домен (строка) | Домен исходного устройства. Пример: Contoso |
| SrcDomainType (Тип домена) | Условный | Enumerated | Тип SrcDomain, если он известен. Возможные значения включают: - Windows (например, contoso)- FQDN (например, microsoft.com)Является обязательным при использовании SrcDomain. |
| SrcFQDN | Необязательно | Полное доменное имя (строка) | Имя узла исходного устройства, включая сведения о домене, если они доступны. Примечание. Это поле поддерживает как традиционные форматы FQDN, так и формат домен\имя_узла Windows. Поле SrcDomainType отражает используемый формат. Пример: Contoso\DESKTOP-1282V4D |
| SrcDvcId (SrcDvcId) | Необязательно | Строка | Идентификатор исходного устройства, как указано в записи. Например: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId (Идентификатор SrcDvcScopeId) | Необязательно | Строка | Идентификатор области облачной платформы, к которому принадлежит устройство. SrcDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcScope (SrcDvcScope) | Необязательно | Строка | Область облачной платформы, к которой принадлежит устройство. SrcDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcIdType | Условный | Enumerated | Тип SrcDvcId, если он известен. Возможные значения включают: - AzureResourceId- MDEidЕсли доступно несколько идентификаторов, используйте первый из списка выше и сохраните остальные в полях SrcDvcAzureResourceId и SrcDvcMDEid соответственно. Примечание. Это поле является обязательным, если используется SrcDvcId. |
| SrcDeviceType | Необязательно | Enumerated | Тип исходного устройства. Возможные значения включают: - Computer- Mobile Device- IOT Device- Other |
| SrcОписание | Необязательно | Строка | Текст описания, связанный с устройством. Например: Primary Domain Controller. |
| SrcGeoCountry | Необязательно | Страна | Страна или регион, связанный с исходным IP-адресом. Пример: USA |
| SrcGeoRegion | Необязательно | Регион | Регион, связанный с исходным IP-адресом. Пример: Vermont |
| SrcGeoCity | Необязательно | Город | Город, связанный с исходным IP-адресом. Пример: Burlington |
| SrcGeoLatitude | Необязательно | Широта | Географическая широта, связанная с исходным IP-адресом. Пример: 44.475833 |
| SrcGeoLongitude (англ.) | Необязательно | Долгота | Географическая долгота, связанная с исходным IP-адресом. Пример: 73.211944 |
| SrcRiskLevel | Необязательно | Целое | Связанный с источником уровень риска. Значение должно находиться в диапазоне от 0 до 100, при этом 0 означает благоприятный результат, а 100 — высокий риск.Пример: 90 |
| SrcOriginalRiskLevel | Необязательно | Строка | Уровень риска, связанный с источником, как сообщается устройством отчетов. Пример: Suspicious |
| SrcPortNumber | Необязательно | Целое | Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. Пример: 2335 |
Поля исходного пользователя
| Поле | Class | Тип | Примечания |
|---|---|---|---|
| SrcUserId (Идентификатор пользователя) | Необязательно | Строка | Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя. Дополнительные сведения и альтернативные поля для дополнительных идентификаторов см. в разделе Сущность пользователя. Пример: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType (Тип пользователя) | Условный | UserIdType (Тип пользователя) | Тип идентификатора, который хранится в поле SrcUserId. Дополнительные сведения и список допустимых значений см. в разделе UserIdType в статье Общие сведения о схеме. |
| SrcИмя пользователя | Необязательно | Имя пользователя (строка) | Имя исходного пользователя, включая сведения о домене, если они доступны. Подробнее см. в статье Сущность пользователя. Пример: AlbertE |
| Пользователь | Псевдоним | Псевдоним для SrcUsername | |
| SrcUsernameType (Тип пользователя) | Условный | Тип имени пользователя | Указывает тип имени пользователя, хранящегося в поле SrcUsername . Дополнительные сведения и список допустимых значений см. в разделе UsernameType в статье Общие сведения о схеме. Пример: Windows |
| SrcUserType | Необязательно | ТипПользователя | Тип исходного пользователя. Дополнительные сведения и список допустимых значений см. в разделе UserType в статье Общие сведения о схеме. Например: Guest |
| SrcOriginalUserType (Тип оригинального пользователя) | Необязательно | Строка | Начальный тип исходного пользователя, если он указан источником. |
| SrcMacAddr | Обязательно | Mac-адрес | MAC-адрес клиента, запрашивающего аренду DHCP. Примечание. Windows DHCP-сервер регистрирует MAC-адрес нестандартно, пропуская двоеточия, которые должны быть вставлены средством синтаксического анализа. Пример: 06:10:9f:eb:8f:14 |
| SrcUserScope (SrcUserScope) | Необязательно | Строка | Область, например клиент Microsoft Entra, в которой определены SrcUserId и SrcUsername . или дополнительные сведения и список разрешенных значений см. в разделе UserScope в статье "Обзор схемы". |
| SrcUserScopeId (Идентификатор пользователяScopeId) | Необязательно | Строка | Идентификатор области, например идентификатор каталога Microsoft Entra, в котором определены SrcUserId и SrcUsername . Дополнительные сведения и список разрешенных значений см. в разделе UserScopeId в статье "Обзор схемы". |
| SrcUserSessionId | Необязательно | Строка | Уникальный идентификатор сеанса входа Actor. Пример: 102pTUgC3p8RIqHvzxLCHnFlg |
Поля проверки
| Поле | Class | Тип | Примечания |
|---|---|---|---|
| Правило | Псевдоним | строка | Значение RuleName или значение RuleNumber. Если используется значение RuleNumber, тип следует преобразовать в строку. |
| RuleNumber | Необязательно | инт | Число правил, связанных с оповещением. например. 123456 |
| RuleName | Необязательно | строка | Имя или идентификатор правила, связанного с оповещением. например. Server PSEXEC Execution via Remote Access |
| ThreatId (Идентификатор угрозы) | Необязательно | строка | Идентификатор угрозы или вредоносных программ, определенных в оповещении. например. 1234567891011121314 |
| Категория угроз | Необязательно | Строка | Категория угроз или вредоносных программ, определенных в оповещении. Поддерживаемые значения: Malware, Ransomware, TrojanVirusWormAdwareSpywareRootkitCryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| ИмяУгрозы | Необязательно | строка | Имя угрозы или вредоносных программ, определенных в оповещении. например. Init.exe |
| УгрозаУверенность | Необязательно | Confidence Level (целое число) | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| УгрозаОригинальнаяУверенность | Необязательно | строка | Уровень достоверности, как сообщается исходной системой. |
| ThreatRiskLevel (Уровень угрозы) | Необязательно | RiskLevel (целое число) | Уровень риска, связанный с угрозой. Уровень должен быть числом от 0 до 100. Примечание. Значение может быть указано в исходной записи с использованием другой шкалы, которая должна быть нормализована по этой шкале. Исходное значение следует хранить в поле ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Необязательно | строка | Уровень риска, как сообщается исходной системой. |
| УгрозаАктивна | Необязательно | bool | Указывает, активна ли угроза в настоящее время. Поддерживаемые значения: TrueFalse |
| ThreatFirstReportedTime (УгрозаFirstReportedTime) | Необязательно | Дата и время | Дата и время первого сообщения об угрозе. например. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Необязательно | Дата и время | Дата и время последнего сообщения об угрозе. например. 2024-09-19T10:12:10.0000000Z |
Обновления схемы
Ниже приведены изменения в версии 0.1.1 схемы:
- Добавлены поля для инспекции.
- Добавлены поля геолокации исходника.
- Добавлены исходные поля:
SrcDescription, , ,SrcOriginalRiskLevelSrcOriginalUserType,SrcPortNumberSrcRiskLevel,SrcUserScope,SrcUserScopeIdSrcUserSessionId``SrcUserUid - Добавлены псевдонимы
SrcиUser - Поля
SrcUserUidиThreatFieldдоступны вASimDhcpEventLogsтаблице, но не входят в схему.
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Посмотрите веб-семинар ASIM или слайды.
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)