Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
DHCP-informationsmodellen används för att beskriva händelser som rapporteras av en DHCP-server och används av Microsoft Sentinel för att aktivera källagnostisk analys.
Mer information finns i Normalisering och ASIM (Advanced Security Information Model).
Tolkar
Mer information om ASIM-parsers finns i översikten över ASIM-parsers.
Filtrera parserparametrar
DHCP-parsarna stöder filtreringsparametrar. Även om de här parametrarna är valfria kan de förbättra frågeprestandan.
Följande filtreringsparametrar är tillgängliga:
| Namn | Typ | Beskrivning |
|---|---|---|
| Starttime | Datetime | Filtrera endast DHCP-händelser som inträffade vid eller efter den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| Endtime | Datetime | Filtrera endast DHCP-händelser som inträffat vid eller före den här tiden. Den här parametern filtrerar fältet TimeGenerated , som är standarddesignatorn för tidpunkten för händelsen, oavsett parserspecifik mappning av fälten EventStartTime och EventEndTime. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrera endast DHCP-händelser där käll-IP-adressprefixet matchar något av de angivna värdena. Prefix ska sluta med , .till exempel: 10.0.. |
| srchostname_has_any | Dynamisk | Filtrera endast DHCP-händelser där källvärdnamnet har något av de angivna värdena. |
| srcusername_has_any | Dynamisk | Filtrera endast DHCP-händelser där källanvändarnamnet har något av de angivna värdena. |
| eventresult | sträng | Filtrera endast DHCP-händelser med ett specifikt händelseresultat. Använd * för att inkludera alla resultat. |
Om du till exempel bara vill filtrera DHCP-händelser från ett specifikt IP-adressintervall under den senaste dagen använder du:
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
Schemaöversikt
ASIM DHCP-schemat representerar DHCP-serveraktivitet, inklusive att hantera begäranden om DHCP IP-adress som leasas från klientsystem och uppdatera en DNS-server med de lån som beviljats.
De viktigaste fälten i en DHCP-händelse är SrcIpAddr och SrcHostname, som DHCP-servern binder genom att bevilja lånet och som aliaseras av fälten IpAddr respektive Hostname . Fältet SrcMacAddr är också viktigt eftersom det representerar klientdatorn som används när en IP-adress inte hyrs.
En DHCP-server kan avvisa en klient, antingen på grund av säkerhetsproblem eller på grund av nätverksmättnad. Den kan också placera en klient i karantän genom att leasa till den en IP-adress som ansluter den till ett begränsat nätverk. Fälten EventResult, EventResultDetails och DvcAction innehåller information om DHCP-serverns svar och åtgärd.
Ett låns varaktighet lagras i fältet DhcpLeaseDuration .
Schemainformation
ASIM är i linje med OSSEM-projektet (Open Source Security Events Metadata).
OSSEM har inget DHCP-schema som är jämförbart med ASIM DHCP-schemat.
Vanliga ASIM-fält
Viktigt
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för DHCP-händelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Uppräknade | Ange åtgärden som rapporterats av posten. Möjliga värden är Assign, Renew, Releaseoch DNS Update. Exempel: Assign |
| EventSchemaVersion | Obligatorisk | SchemaVersion (sträng) | Den version av schemat som dokumenteras här är 0.1.1. |
| EventSchema | Obligatorisk | Sträng | Namnet på schemat som dokumenteras här är DhcpEvent. |
| Dvc-fält | - | - | För DHCP-händelser refererar enhetsfält till systemet som rapporterar DHCP-händelsen. |
Alla vanliga fält
Fält som visas i tabellen är gemensamma för alla ASIM-scheman. Eventuella riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett visst schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderas |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
DHCP-specifika fält
| Fält | Klass | Typ | Kommentarer |
|---|---|---|---|
| DhcpLeaseDuration | Valfritt | Heltal | Längden på lånet som beviljats en klient i sekunder. |
| DhcpSessionId | Valfritt | sträng | Sessionsidentifieraren som rapporteras av rapporteringsenheten. För Windows DHCP-servern anger du fältet TransactionID. Exempel: 2099570186 |
| Sessionid | Alias | Sträng | Alias för DhcpSessionId |
| DhcpSessionDuration | Valfritt | Heltal | Hur lång tid, i millisekunder, för slutförandet av DHCP-sessionen. Exempel: 1500 |
| Varaktighet | Alias | Alias för DhcpSessionDuration | |
| DhcpSrcDHCId | Valfritt | Sträng | DHCP-klient-ID: t enligt definitionen i RFC4701 |
| DhcpCircuitId | Valfritt | Sträng | DHCP-krets-ID: t enligt definitionen i RFC3046 |
| DhcpSubscriberId | Valfritt | Sträng | DHCP-prenumerant-ID:t enligt definitionen i RFC3993 |
| DhcpVendorClassId | Valfritt | Sträng | DHCP-leverantörsklass-ID enligt definitionen i RFC3925. |
| DhcpVendorClass | Valfritt | Sträng | DHCP-leverantörsklassen enligt definitionen i RFC3925. |
| DhcpUserClassId | Valfritt | Sträng | DHCP-användarklass-ID enligt definitionen i RFC3004. |
| DhcpUserClass | Valfritt | Sträng | DHCP-användarklassen enligt definitionen i RFC3004. |
| RequestedIpAddr | Valfritt | IP-adress | IP-adressen som begärs av DHCP-klienten, när den är tillgänglig. Exempel: 192.168.12.3 |
Källsystemfält
Källsystemet är det system som begär ett DHCP-lån
| Fält | Klass | Typ | Kommentarer |
|---|---|---|---|
| Src | Alias | Sträng | En unik identifierare för källenheten. Det här fältet kan vara alias för fälten SrcDvcId, SrcHostname eller SrcIpAddr . Exempel: 192.168.12.1 |
| SrcIpAddr | Obligatorisk | IP-adress | IP-adressen som tilldelats klienten av DHCP-servern. Exempel: 192.168.12.1 |
| IpAddr | Alias | Alias för SrcIpAddr | |
| SrcHostname | Obligatorisk | Värdnamn (sträng) | Värdnamnet för enheten som begär DHCP-lånet. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. Exempel: DESKTOP-1282V4D |
| Värdnamn | Alias | Alias för SrcHostname | |
| SrcDomain | Rekommenderas | Domän (sträng) | Källenhetens domän. Exempel: Contoso |
| SrcDomainType | Villkorsstyrd | Uppräknade | Typen av SrcDomain, om det är känt. Möjliga värden inkluderar: - Windows (till exempel: contoso)- FQDN (till exempel: microsoft.com)Krävs om SrcDomain används. |
| SrcFQDN | Valfritt | FQDN (sträng) | Källenhetens värdnamn, inklusive domäninformation när det är tillgängligt. Obs! Det här fältet stöder både traditionellt FQDN-format och Windows-domän\värddatornamnformat. Fältet SrcDomainType återspeglar det format som används. Exempel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Valfritt | Sträng | ID:t för källenheten enligt rapporten i posten. Till exempel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Valfritt | Sträng | Molnplattformens omfångs-ID som enheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcScope | Valfritt | Sträng | Molnplattformsomfånget som enheten tillhör. SrcDvcScope mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcIdType | Villkorsstyrd | Uppräknade | Typen av SrcDvcId, om det är känt. Möjliga värden inkluderar: - AzureResourceId- MDEidOm flera ID:er är tillgängliga använder du det första från listan ovan och lagrar de andra i SrcDvcAzureResourceId respektive SrcDvcMDEid. Obs! Det här fältet krävs om SrcDvcId används. |
| SrcDeviceType | Valfritt | Uppräknade | Typ av källenhet. Möjliga värden inkluderar: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Valfritt | Sträng | En beskrivande text som är associerad med enheten. Till exempel: Primary Domain Controller. |
| SrcGeoCountry | Valfritt | Land | Det land/den region som är associerad med källans IP-adress. Exempel: USA |
| SrcGeoRegion | Valfritt | Region | Den region som är associerad med källans IP-adress. Exempel: Vermont |
| SrcGeoCity | Valfritt | Ort | Den ort som är associerad med källans IP-adress. Exempel: Burlington |
| SrcGeoLatitude | Valfritt | Latitude | Latitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 44.475833 |
| SrcGeoLongitude | Valfritt | Longitud | Longitud för den geografiska koordinat som är associerad med källans IP-adress. Exempel: 73.211944 |
| SrcRiskLevel | Valfritt | Heltal | Den risknivå som är associerad med källan. Värdet ska justeras till ett intervall på 0 till , med 0 för godartad och 100100för hög risk.Exempel: 90 |
| SrcOriginalRiskLevel | Valfritt | Sträng | Den risknivå som är associerad med källan, enligt rapporteringsenhetens rapporter. Exempel: Suspicious |
| SrcPortNumber | Valfritt | Heltal | IP-porten som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. Exempel: 2335 |
Källanvändarfält
| Fält | Klass | Typ | Kommentarer |
|---|---|---|---|
| SrcUserId | Valfritt | Sträng | En maskinläsbar, alfanumerisk, unik representation av källanvändaren. Mer information och alternativa fält för ytterligare ID:n finns i Entiteten Användare. Exempel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Villkorsstyrd | UserIdType | Typen av ID som lagras i fältet SrcUserId . Mer information och lista över tillåtna värden finns i UserIdType i artikeln Schemaöversikt. |
| SrcUsername | Valfritt | Användarnamn (sträng) | Källans användarnamn, inklusive domäninformation när det är tillgängligt. Mer information finns i Användarentiteten. Exempel: AlbertE |
| Användare | Alias | Alias för SrcUsername | |
| SrcUsernameType | Villkorsstyrd | UsernameType | Anger typen av användarnamn som lagras i fältet SrcUsername . Mer information och lista över tillåtna värden finns i UsernameType i artikeln Schemaöversikt. Exempel: Windows |
| SrcUserType | Valfritt | UserType | Typ av källanvändare. Mer information och lista över tillåtna värden finns i UserType i artikeln Schemaöversikt. Till exempel: Guest |
| SrcOriginalUserType | Valfritt | Sträng | Den ursprungliga källanvändartypen, om den tillhandahålls av källan. |
| SrcMacAddr | Obligatorisk | Mac-adress | MAC-adressen för klienten som begär ett DHCP-lån. Obs! Windows DHCP-servern loggar MAC-adressen på ett icke-standard sätt och utelämnar kolonen, som ska infogas av parsern. Exempel: 06:10:9f:eb:8f:14 |
| SrcUserScope | Valfritt | Sträng | Omfånget, till exempel Microsoft Entra klientorganisation, där SrcUserId och SrcUsername definieras. eller mer information och lista över tillåtna värden finns i UserScope i artikeln Schemaöversikt. |
| SrcUserScopeId | Valfritt | Sträng | Omfångs-ID, till exempel Microsoft Entra katalog-ID, där SrcUserId och SrcUsername definieras. Mer information och lista över tillåtna värden finns i UserScopeId i artikeln Schemaöversikt. |
| SrcUserSessionId | Valfritt | Sträng | Det unika ID:t för inloggningssessionen för aktören. Exempel: 102pTUgC3p8RIqHvzxLCHnFlg |
Kontrollfält
| Fält | Klass | Typ | Kommentarer |
|---|---|---|---|
| Regel | Alias | sträng | Antingen värdet för RuleName eller värdet för RuleNumber. Om värdet för RuleNumber används ska typen konverteras till sträng. |
| RuleNumber | Valfritt | int | Numret på regeln som är associerad med aviseringen. E.g. 123456 |
| RuleName | Valfritt | sträng | Namnet eller ID:t för regeln som är associerad med aviseringen. E.g. Server PSEXEC Execution via Remote Access |
| ThreatId | Valfritt | sträng | ID:t för det hot eller den skadliga kod som identifieras i aviseringen. E.g. 1234567891011121314 |
| ThreatCategory | Valfritt | Sträng | Kategorin för det hot eller den skadliga kod som identifieras i aviseringen. Värden som stöds är: Malware, Ransomware, Trojan, Virus, Worm, Adware, Spyware, Rootkit, Cryptominor, SpamPhishing, , MaliciousUrl, Spoofing, Security Policy Violation,Unknown |
| ThreatName | Valfritt | sträng | Namnet på det hot eller den skadliga kod som identifieras i aviseringen. E.g. Init.exe |
| ThreatConfidence | Valfritt | ConfidenceLevel (heltal) | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatOriginalConfidence | Valfritt | sträng | Konfidensnivån enligt det ursprungliga systemet. |
| ThreatRiskLevel | Valfritt | RiskLevel (heltal) | Den risknivå som är associerad med hotet. Nivån ska vara ett tal mellan 0 och 100. Obs! Värdet kan anges i källposten med hjälp av en annan skala, som ska normaliseras till den här skalan. Det ursprungliga värdet ska lagras i ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Valfritt | sträng | Den risknivå som rapporteras av det ursprungliga systemet. |
| ThreatIsActive | Valfritt | Bool | Anger om hotet för närvarande är aktivt. Värden som stöds är: True, False |
| ThreatFirstReportedTime | Valfritt | Datum/tid | Datum och tid då hotet först rapporterades. E.g. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Valfritt | Datum/tid | Datum och tid då hotet senast rapporterades. E.g. 2024-09-19T10:12:10.0000000Z |
Schemauppdateringar
Följande är ändringarna i version 0.1.1 av schemat:
- Kontrollfält har lagts till.
- Geoplatsfälten för källan har lagts till.
- Källfälten har lagts till:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,SrcPortNumber,SrcRiskLevel,SrcUserScope, ,SrcUserScopeIdSrcUserSessionId``SrcUserUid - Aliasen och har lagts
SrctillUser - Fälten
SrcUserUidochThreatFieldär tillgängliga i tabellenASimDhcpEventLogsmen ingår inte i schemat.
Nästa steg
Mer information finns i: