Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het DHCP-informatiemodel wordt gebruikt om gebeurtenissen te beschrijven die zijn gerapporteerd door een DHCP-server en wordt door Microsoft Sentinel gebruikt om bronagnostische analyses in te schakelen.
Zie Normalisatie en het Advanced Security Information Model (ASIM) voor meer informatie.
Parsers
Zie het overzicht van ASIM-parsers voor meer informatie over ASIM-parsers.
Parameters voor filteren van parser
De DHCP-parsers ondersteunen filterparameters. Hoewel deze parameters optioneel zijn, kunnen ze uw queryprestaties verbeteren.
De volgende filterparameters zijn beschikbaar:
| Naam | Type | Beschrijving |
|---|---|---|
| Starttime | Datetime | Filter alleen DHCP-gebeurtenissen die zijn opgetreden op of na deze tijd. Deze parameter filtert op het TimeGenerated veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime. |
| Eindtijd | Datetime | Filter alleen DHCP-gebeurtenissen die zich op of vóór deze tijd hebben voorgedaan. Deze parameter filtert op het TimeGenerated veld, dat de standaardindeling is voor de tijd van de gebeurtenis, ongeacht de parserspecifieke toewijzing van de velden EventStartTime en EventEndTime. |
| srcipaddr_has_any_prefix | Dynamische | Filter alleen DHCP-gebeurtenissen waarbij het bron-IP-adresvoorvoegsel overeenkomt met een van de vermelde waarden. Voorvoegsels moeten eindigen op een ., bijvoorbeeld: 10.0.. |
| srchostname_has_any | Dynamische | Filter alleen DHCP-gebeurtenissen waarbij de bronhostnaam een van de vermelde waarden heeft. |
| srcusername_has_any | Dynamische | Filter alleen DHCP-gebeurtenissen waarbij de brongebruikersnaam een van de vermelde waarden heeft. |
| eventresult | tekenreeks | Filter alleen DHCP-gebeurtenissen met een specifiek gebeurtenisresultaat. Gebruik * om alle resultaten op te nemen. |
Als u bijvoorbeeld alleen DHCP-gebeurtenissen van een specifiek IP-adresbereik van de afgelopen dag wilt filteren, gebruikt u:
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
Schemaoverzicht
Het ASIM DHCP-schema vertegenwoordigt dhcp-serveractiviteit, inclusief het verwerken van aanvragen voor DHCP IP-adres dat is geleased van clientsystemen en het bijwerken van een DNS-server met de verleende leases.
De belangrijkste velden in een DHCP-gebeurtenis zijn SrcIpAddr en SrcHostname, die de DHCP-server bindt door de lease te verlenen, en worden respectievelijk aangeduid met de velden IpAddr en Hostname . Het veld SrcMacAddr is ook belangrijk omdat het de clientcomputer vertegenwoordigt die wordt gebruikt wanneer een IP-adres niet wordt geleased.
Een DHCP-server kan een client weigeren vanwege beveiligingsproblemen of vanwege netwerkverzadiging. Het kan ook een client in quarantaine plaatsen door er een IP-adres aan te leasen dat deze zou verbinden met een beperkt netwerk. De velden EventResult, EventResultDetails en DvcAction bieden informatie over het antwoord en de actie van de DHCP-server.
De duur van een lease wordt opgeslagen in het veld DhcpLeaseDuration .
Schemadetails
ASIM is afgestemd op het project Open Source Security Events Metadata (OSSEM).
OSSEM heeft geen DHCP-schema dat vergelijkbaar is met het ASIM DHCP-schema.
Algemene ASIM-velden
Belangrijk
Algemene velden voor alle schema's worden uitgebreid beschreven in het artikel Algemene velden van ASIM .
Algemene velden met specifieke richtlijnen
In de volgende lijst worden velden vermeld met specifieke richtlijnen voor DHCP-gebeurtenissen:
| Veld | Klasse | Type | Beschrijving |
|---|---|---|---|
| EventType | Verplicht | Opgesomde | Geef de bewerking aan die door de record is gerapporteerd. Mogelijke waarden zijn Assign, Renew, Releaseen DNS Update. Voorbeeld: Assign |
| EventSchemaVersion | Verplicht | SchemaVersion (tekenreeks) | De versie van het schema dat hier wordt beschreven, is 0.1.1. |
| EventSchema | Verplicht | Tekenreeks | De naam van het schema dat hier wordt beschreven, is DhcpEvent. |
| Dvc-velden | - | - | Voor DHCP-gebeurtenissen verwijzen apparaatvelden naar het systeem dat de DHCP-gebeurtenis rapporteert. |
Alle algemene velden
Velden die in de tabel worden weergegeven, zijn gemeenschappelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld in het algemeen optioneel zijn, maar verplicht voor een specifiek schema. Zie het artikel Algemene ASIM-velden voor meer informatie over elk veld.
| Klasse | Velden |
|---|---|
| Verplicht |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Aanbevolen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optioneel |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO's - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
DHCP-specifieke velden
| Veld | Klasse | Type | Opmerkingen |
|---|---|---|---|
| DhcpLeaseDuration | Optioneel | Geheel getal | De duur van de lease die aan een klant is verleend, in seconden. |
| DhcpSessionId | Optioneel | tekenreeks | De sessie-id zoals gerapporteerd door het rapportageapparaat. Voor de Windows DHCP-server stelt u dit in op het veld TransactionID. Voorbeeld: 2099570186 |
| Sessionid | Alias | Tekenreeks | Alias naar DhcpSessionId |
| DhcpSessionDuration | Optioneel | Geheel getal | De hoeveelheid tijd, in milliseconden, voor de voltooiing van de DHCP-sessie. Voorbeeld: 1500 |
| Duur | Alias | Alias naar DhcpSessionDuration | |
| DhcpSrcDHCId | Optioneel | Tekenreeks | De DHCP-client-id, zoals gedefinieerd door RFC4701 |
| DhcpCircuitId | Optioneel | Tekenreeks | De DHCP-circuit-id, zoals gedefinieerd door RFC3046 |
| DhcpSubscriberId | Optioneel | Tekenreeks | De DHCP-abonnee-id, zoals gedefinieerd door RFC3993 |
| DhcpVendorClassId | Optioneel | Tekenreeks | De dhcp-leverancierklasse-id, zoals gedefinieerd door RFC3925. |
| DhcpVendorClass | Optioneel | Tekenreeks | De DHCP-leveranciersklasse, zoals gedefinieerd door RFC3925. |
| DhcpUserClassId | Optioneel | Tekenreeks | De DHCP-gebruikersklasse-id, zoals gedefinieerd door RFC3004. |
| DhcpUserClass | Optioneel | Tekenreeks | De DHCP-gebruikersklasse, zoals gedefinieerd door RFC3004. |
| RequestedIpAddr | Optioneel | IP-adres | Het IP-adres dat is aangevraagd door de DHCP-client, indien beschikbaar. Voorbeeld: 192.168.12.3 |
Bronsysteemvelden
Het bronsysteem is het systeem dat een DHCP-lease aanvraagt
| Veld | Klasse | Type | Opmerkingen |
|---|---|---|---|
| Src | Alias | Tekenreeks | Een unieke id van het bronapparaat. Dit veld kan de alias van de velden SrcDvcId, SrcHostname of SrcIpAddr zijn. Voorbeeld: 192.168.12.1 |
| SrcIpAddr | Verplicht | IP-adres | Het IP-adres dat door de DHCP-server aan de client is toegewezen. Voorbeeld: 192.168.12.1 |
| Ipaddr | Alias | Alias voor SrcIpAddr | |
| SrcHostname | Verplicht | Hostnaam (tekenreeks) | De hostnaam van het apparaat dat de DHCP-lease aanvraagt. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres in dit veld op. Voorbeeld: DESKTOP-1282V4D |
| Hostname | Alias | Alias voor SrcHostname | |
| SrcDomain | Aanbevolen | Domein (tekenreeks) | Het domein van het bronapparaat. Voorbeeld: Contoso |
| SrcDomainType | Voorwaardelijke | Opgesomde | Het type SrcDomain, indien bekend. Mogelijke waarden zijn: - Windows (zoals: contoso)- FQDN (zoals: microsoft.com)Vereist als SrcDomain wordt gebruikt. |
| SrcFQDN | Optioneel | FQDN (tekenreeks) | De hostnaam van het bronapparaat, inclusief domeingegevens indien beschikbaar. Opmerking: dit veld ondersteunt zowel de traditionele FQDN-indeling als de Windows-indeling domein\hostnaam. In het veld SrcDomainType wordt de gebruikte indeling weergegeven. Voorbeeld: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Optioneel | Tekenreeks | De id van het bronapparaat zoals gerapporteerd in de record. Bijvoorbeeld: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optioneel | Tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| SrcDvcScope | Optioneel | Tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id op Azure en aan een account-id op AWS. |
| SrcDvcIdType | Voorwaardelijke | Opgesomde | Het type SrcDvcId, indien bekend. Mogelijke waarden zijn: - AzureResourceId- MDEidAls er meerdere id's beschikbaar zijn, gebruikt u de eerste uit de bovenstaande lijst en slaat u de andere id's op in respectievelijk SrcDvcAzureResourceId en SrcDvcMDEid. Opmerking: dit veld is vereist als SrcDvcId wordt gebruikt. |
| SrcDeviceType | Optioneel | Opgesomde | Het type van het bronapparaat. Mogelijke waarden zijn: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Optioneel | Tekenreeks | Een beschrijvende tekst die is gekoppeld aan het apparaat. Bijvoorbeeld: Primary Domain Controller. |
| SrcGeoCountry | Optioneel | Land | Het land/de regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: USA |
| SrcGeoRegion | Optioneel | Regio | De regio die is gekoppeld aan het bron-IP-adres. Voorbeeld: Vermont |
| SrcGeoCity | Optioneel | Plaats | De plaats die is gekoppeld aan het bron-IP-adres. Voorbeeld: Burlington |
| SrcGeoLatitude | Optioneel | Latitude | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 44.475833 |
| SrcGeoLongitude | Optioneel | Lengtegraad | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. Voorbeeld: 73.211944 |
| SrcRiskLevel | Optioneel | Geheel getal | Het risiconiveau dat aan de bron is gekoppeld. De waarde moet worden aangepast tot een bereik van 0 tot , met 0 voor goedaardig en 100 voor 100een hoog risico.Voorbeeld: 90 |
| SrcOriginalRiskLevel | Optioneel | Tekenreeks | Het risiconiveau dat is gekoppeld aan de bron, zoals gerapporteerd door het rapportageapparaat. Voorbeeld: Suspicious |
| SrcPortNumber | Optioneel | Geheel getal | De IP-poort van waaruit de verbinding afkomstig is. Is mogelijk niet relevant voor een sessie die uit meerdere verbindingen bestaat. Voorbeeld: 2335 |
Brongebruikersvelden
| Veld | Klasse | Type | Opmerkingen |
|---|---|---|---|
| SrcUserId | Optioneel | Tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de brongebruiker. Zie De entiteit Gebruiker voor meer informatie en voor alternatieve velden voor extra id's. Voorbeeld: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Voorwaardelijke | UserIdType | Het type id dat is opgeslagen in het veld SrcUserId . Zie UserIdType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| SrcUsername | Optioneel | Gebruikersnaam (tekenreeks) | De brongebruikersnaam, inclusief domeingegevens, indien beschikbaar. Zie De entiteit Gebruiker voor meer informatie. Voorbeeld: AlbertE |
| Gebruiker | Alias | Alias voor SrcUsername | |
| SrcUsernameType | Voorwaardelijke | UsernameType | Hiermee geeft u het type van de gebruikersnaam op dat is opgeslagen in het veld SrcUsername . Zie UsernameType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Voorbeeld: Windows |
| SrcUserType | Optioneel | UserType | Het type van de brongebruiker. Zie UserType in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. Bijvoorbeeld: Guest |
| SrcOriginalUserType | Optioneel | Tekenreeks | Het oorspronkelijke brongebruikerstype, indien opgegeven door de bron. |
| SrcMacAddr | Verplicht | Mac-adres | Het MAC-adres van de client die een DHCP-lease aanvraagt. Opmerking: De Windows DHCP-server registreert het MAC-adres op een niet-standaard manier, waarbij de dubbele punten weggelaten worden, die door de parser moeten worden ingevoegd. Voorbeeld: 06:10:9f:eb:8f:14 |
| SrcUserScope | Optioneel | Tekenreeks | Het bereik, zoals Microsoft Entra tenant, waarin SrcUserId en SrcUsername zijn gedefinieerd. of zie UserScope in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| SrcUserScopeId | Optioneel | Tekenreeks | De bereik-id, zoals Microsoft Entra Directory-id, waarin SrcUserId en SrcUsername zijn gedefinieerd. Zie UserScopeId in het artikel Schemaoverzicht voor meer informatie en een lijst met toegestane waarden. |
| SrcUserSessionId | Optioneel | Tekenreeks | De unieke id van de aanmeldingssessie van de Actor. Voorbeeld: 102pTUgC3p8RIqHvzxLCHnFlg |
Inspectievelden
| Veld | Klasse | Type | Opmerkingen |
|---|---|---|---|
| Regel | Alias | tekenreeks | De waarde van RuleName of de waarde van RuleNumber. Als de waarde van RuleNumber wordt gebruikt, moet het type worden geconverteerd naar tekenreeks. |
| RuleNumber | Optioneel | int | Het nummer van de regel die is gekoppeld aan de waarschuwing. Bijvoorbeeld. 123456 |
| RuleName | Optioneel | tekenreeks | De naam of id van de regel die is gekoppeld aan de waarschuwing. Bijvoorbeeld. Server PSEXEC Execution via Remote Access |
| ThreatId | Optioneel | tekenreeks | De id van de bedreiging of malware die in de waarschuwing is geïdentificeerd. Bijvoorbeeld. 1234567891011121314 |
| ThreatCategory | Optioneel | Tekenreeks | De categorie van de bedreiging of malware die in de waarschuwing is geïdentificeerd. Ondersteunde waarden zijn: Malware, Ransomware, Trojan, Virus, Worm, Adware, Spyware, Rootkit, Cryptominor, Phishing, Spam, MaliciousUrlSpoofing, , , Security Policy ViolationUnknown |
| ThreatName | Optioneel | tekenreeks | De naam van de bedreiging of malware die in de waarschuwing is geïdentificeerd. Bijvoorbeeld. Init.exe |
| ThreatConfidence | Optioneel | ConfidenceLevel (geheel getal) | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100. |
| ThreatOriginalConfidence | Optioneel | tekenreeks | Het betrouwbaarheidsniveau zoals gerapporteerd door het oorspronkelijke systeem. |
| ThreatRiskLevel | Optioneel | RiskLevel (geheel getal) | Het risiconiveau dat aan de bedreiging is gekoppeld. Het niveau moet een getal tussen 0 en 100 zijn. Opmerking: de waarde kan worden opgegeven in de bronrecord met behulp van een andere schaal, die moet worden genormaliseerd naar deze schaal. De oorspronkelijke waarde moet worden opgeslagen in ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Optioneel | tekenreeks | Het risiconiveau zoals gerapporteerd door het oorspronkelijke systeem. |
| ThreatIsActive | Optioneel | Bool | Geeft aan of de bedreiging momenteel actief is. Ondersteunde waarden zijn: True, False |
| ThreatFirstReportedTime | Optioneel | Datum/tijd | De datum en tijd waarop de bedreiging voor het eerst is gerapporteerd. Bijvoorbeeld. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Optioneel | Datum/tijd | De datum en tijd waarop de bedreiging voor het laatst is gerapporteerd. Bijvoorbeeld. 2024-09-19T10:12:10.0000000Z |
Schema-updates
Hier volgen de wijzigingen in versie 0.1.1 van het schema:
- Inspectievelden toegevoegd.
- De velden voor de geo-locatie van de bron zijn toegevoegd.
- De bronvelden zijn toegevoegd:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,SrcPortNumber,SrcRiskLevel, ,SrcUserScope,SrcUserScopeIdSrcUserSessionId``SrcUserUid - De aliassen
Srcen toegevoegdUser - De velden
SrcUserUidenThreatFieldzijn beschikbaar in deASimDhcpEventLogstabel, maar maken geen deel uit van het schema.
Volgende stappen
Zie voor meer informatie: