Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das DHCP-Informationsmodell dient zur Beschreibung von Ereignissen, die von einem DHCP-Server gemeldet werden, und wird von Microsoft Sentinel verwendet, um quellenagnostische Analysen zu ermöglichen.
Weitere Informationen finden Sie unter Normalisierung und das erweiterte Sicherheitsinformationsmodell (ASIM).
Schemaübersicht
Das ASIM-DHCP-Schema stellt DHCP-Serveraktivitäten dar, einschließlich der Bereitstellung von Anforderungen für DHCP-IP-Adressen, die von Clientsystemen geleast werden, und der Aktualisierung eines DNS-Servers mit den gewährten Leases.
Die wichtigsten Felder in einem DHCP-Ereignis sind SrcIpAddr und SrcHostname, die der DHCP-Server durch Gewähren der Lease bindet und die von den Feldern IpAddr bzw. Hostname als Alias verwendet werden. Das Feld "SrcMacAddr " ist auch wichtig, da es den Clientcomputer darstellt, der verwendet wird, wenn eine IP-Adresse nicht geleast wird.
Ein DHCP-Server kann einen Client entweder aufgrund von Sicherheitsbedenken oder aufgrund einer Überlastung des Netzwerks ablehnen. Er kann einen Client auch unter Quarantäne stellen, indem er ihm eine IP-Adresse least, die ihn mit einem eingeschränkten Netzwerk verbindet. Die Felder EventResult, EventResultDetails und DvcAction enthalten Informationen zur Antwort und Aktion des DHCP-Servers.
Die Dauer einer Lease wird im Feld DhcpLeaseDuration gespeichert.
Schemadetails
ASIM ist auf das Projekt Open Source Security Events Metadata (OSSEM) ausgerichtet.
OSSEM verfügt nicht über ein DHCP-Schema, das mit dem ASIM DHCP-Schema vergleichbar ist.
Allgemeine ASIM-Felder
Wichtig
Felder, die allen Schemas gemeinsam sind, werden im Artikel Allgemeine ASIM-Felder ausführlich beschrieben.
Allgemeine Felder mit bestimmten Richtlinien
In der folgenden Liste werden Felder erwähnt, die bestimmte Richtlinien für DHCP-Ereignisse enthalten:
| Feld | Klasse | Typ | Beschreibung |
|---|---|---|---|
| EventType | Obligatorisch. | Enumerated | Gibt den vom Datensatz gemeldeten Vorgang an. Mögliche Werte sind Assign, Renew, Release und DNS Update. Beispiel: Assign |
| EventSchemaVersion | Obligatorisch. | SchemaVersion (String) | Die hier dokumentierte Version des Schemas ist 0.1.1. |
| EventSchema | Obligatorisch. | String | Der Name des hier dokumentierten Schemas ist DhcpEvent. |
| Dvc-Felder | - | - | Gerätefelder für DHCP-Ereignisse verweisen auf das System, das das DHCP-Ereignis meldet. |
Alle allgemeinen Felder
Felder, die in der Tabelle angezeigt werden, gelten für alle ASIM-Schemas. Jede oben angegebene Richtlinie setzt die allgemeinen Richtlinien für das Feld außer Kraft. Beispielsweise kann ein Feld im Allgemeinen optional, aber für ein bestimmtes Schema obligatorisch sein. Weitere Informationen zu den einzelnen Feldern finden Sie im Artikel "ASIM Common Fields ".
| Klasse | Fields |
|---|---|
| Obligatorisch. |
-
Ereignisanzahl - EventStartZeit - EventEndTime - EventType (Ereignistyp) - EventResult - EventProdukt - EventVendor (Englisch) - EventSchema (Ereignis) - EventSchemaVersion - Dvc |
| Empfohlen |
-
EventResultDetails - EreignisSchweregrad - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Optional |
-
EventMessage (Ereignisnachricht) - EventSubtype - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion (EreignisProduktversion) - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcSchnittstelle - ZusätzlicheFelder - DvcDescription - DvcScopeId - Dvc-Bereich |
DHCP-spezifische Felder
| Feld | Klasse | Typ | Hinweise |
|---|---|---|---|
| DhcpLeaseDuration | Optional | Integer | Die Länge der einem Client gewährten Lease in Sekunden. |
| DhcpSessionId | Optional | Zeichenfolge | Der Sitzungsbezeichner, der vom meldenden Gerät gemeldet wird. Für den Windows DHCP-Server legen Sie diesen auf das Feld „TransactionID“ fest. Beispiel: 2099570186 |
| SessionId | Alias | String | Alias für DhcpSessionId |
| DhcpSessionDuration | Optional | Integer | Die Zeitspanne in Millisekunden für den Abschluss der DHCP-Sitzung. Beispiel: 1500 |
| Duration | Alias | Alias für DhcpSessionDuration. | |
| DhcpSrcDHCId | Optional | String | Die DHCP-Client-ID gemäß RFC4701. |
| DhcpCircuitId | Optional | String | Die DHCP-Leitungs-ID gemäß RFC3046. |
| DhcpSubscriberId | Optional | String | Die DHCP-Abonnenten-ID gemäß RFC3993. |
| DhcpVendorClassId | Optional | String | Die DHCP-Herstellerklassen-ID gemäß RFC3925. |
| DhcpVendorClass | Optional | String | Die DHCP-Herstellerklasse gemäß RFC3925. |
| DhcpUserClassId | Optional | String | Die DHCP-Benutzerklassen-ID gemäß der Definition durch RFC3004. |
| DhcpUserClass | Optional | String | Die DHCP-Benutzerklasse gemäß RFC3004. |
| RequestedIpAddr | Optional | IP-Adresse | Die vom DHCP-Client angeforderte IP-Adresse (sofern verfügbar). Beispiel: 192.168.12.3 |
Felder für „Quellsystem“
Das Quellsystem ist das System, das einen DHCP-Lease anfordert
| Feld | Klasse | Typ | Hinweise |
|---|---|---|---|
| Src | Alias | String | Der eindeutige Bezeichner des Quellgeräts. Dieses Feld kann ein Alias für das Feld SrcDvcId, SrcHostname oder SrcIpAddr sein. Beispiel: 192.168.12.1 |
| SrcIpAddr | Obligatorisch. | IP-Adresse | Die IP-Adresse, die dem Client vom DHCP-Server zugewiesen wird. Beispiel: 192.168.12.1 |
| IpAddr | Alias | Alias für SrcIpAddr. | |
| SrcHostname | Obligatorisch. | Hostname (String) | Der Hostname des Geräts, das die DHCP-Lease anfordert. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld. Beispiel: DESKTOP-1282V4D |
| Hostname | Alias | Alias für SrcHostname. | |
| SrcDomain | Empfohlen | Domain (String) | Die Domäne des Quellgeräts. Beispiel: Contoso |
| SrcDomainType | Bedingt | Enumerated | Der Typ von SrcDomain, sofern bekannt. Mögliche Werte sind: - Windows (Beispiel: contoso)- FQDN (Beispiel: microsoft.com)Erforderlich, wenn SrcDomain verwendet wird. |
| SrcFQDN | Optional | FQDN (Saite) | Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. Hinweis: Dieses Feld unterstützt sowohl das herkömmliche FQDN-Format als auch das Windows-Format „Domäne\Hostname“. Das Feld SrcDomainType spiegelt das verwendete Format wider. Beispiel: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Optional | String | Die ID des Quellgeräts, wie im Datensatz angegeben. Beispiel: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Optional | String | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvc-Bereich | Optional | String | Der Cloudplattformbereich, zu dem das Gerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcIdType | Bedingt | Enumerated | Der Typ von SrcDvcId, sofern bekannt. Mögliche Werte sind: - AzureResourceId- MDEidWenn mehrere IDs verfügbar sind, verwenden Sie die erste aus der obigen Liste, und speichern Sie die anderen in den Feldern SrcDvcAzureResourceId bzw. SrcDvcMDEid. Hinweis: Dieses Feld ist erforderlich, wenn das Feld SrcDvcId verwendet wird. |
| SrcDeviceType | Optional | Enumerated | Der Typ des Quellgeräts. Mögliche Werte sind: - Computer- Mobile Device- IOT Device- Other |
| SrcBeschreibung | Optional | String | Ein mit dem Gerät verknüpfter beschreibender Text. Beispiel: Primary Domain Controller. |
| SrcGeoLand | Optional | Staat | Das Land/die Region, das der Quell-IP-Adresse zugeordnet ist. Beispiel: USA |
| SrcGeoRegion | Optional | Region | Die der Quell-IP-Adresse zugeordnete Region. Beispiel: Vermont |
| SrcGeoCity | Optional | Stadt | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. Beispiel: Burlington |
| SrcGeoLatitude | Optional | Breitengrad | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 44.475833 |
| SrcGeoLängengrad | Optional | Längengrad | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. Beispiel: 73.211944 |
| SrcRiskLevel | Optional | Integer | Die der Quelle zugeordnete Risikostufe. Der Wert sollte auf einen Bereich zwischen 0 und 100 angepasst werden, wobei 0 unbedenklich ist und 100 ein hohes Risiko darstellt.Beispiel: 90 |
| SrcOriginalRiskLevel | Optional | String | Das mit der Quelle verbundene Risikolevel, wie vom Gerät gemeldet. Beispiel: Suspicious |
| SrcPortNumber | Optional | Integer | Der IP-Port, von dem die Verbindung stammt. Ist möglicherweise für Sitzungen, die mehrere Verbindungen umfassen, nicht relevant. Beispiel: 2335 |
Felder für „Quellbenutzer“
| Feld | Klasse | Typ | Hinweise |
|---|---|---|---|
| SrcUserId | Optional | String | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Quellbenutzers. Weitere Informationen und alternative Felder für zusätzliche IDs finden Sie unter Die Benutzerentität. Beispiel: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Bedingt | Benutzer-IdTyp | Der Typ der ID, die im Feld SrcUserId gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserIdType im Artikel „Schemaübersicht“. |
| SrcBenutzername | Optional | Benutzername (String) | Der Quellbenutzername einschließlich Informationen zur Domäne, falls verfügbar. Weitere Informationen finden Sie unter Benutzerentität. Beispiel: AlbertE |
| Benutzer | Alias | Alias für SrcUsername. | |
| SrcUsernameType | Bedingt | BenutzernameTyp | Gibt den Typ des Benutzernamens an, der im Feld SrcUsername gespeichert ist. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UsernameType im Artikel „Schemaübersicht“. Beispiel: Windows |
| SrcUserType | Optional | Benutzertyp | Der Typ des Quellbenutzers. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserType im Artikel „Schemaübersicht“. Beispiel: Guest |
| SrcOriginalUserType | Optional | String | Der ursprüngliche Quellbenutzertyp, sofern von der Quelle bereitgestellt. |
| SrcMacAddr | Obligatorisch. | MAC-Adresse | Die MAC-Adresse des Clients, der eine DHCP-Lease anfordert. Hinweis: Der Windows DHCP-Server protokolliert die MAC-Adresse auf nicht standardmäßige Weise, wobei die Doppelpunkte weggelassen werden, die vom Parser eingefügt werden sollen. Beispiel: 06:10:9f:eb:8f:14 |
| SrcUserScope | Optional | String | Der Bereich (z. B. der Microsoft Entra-Mandant), in dem SrcUserId und SrcUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScope im Artikel Schemaübersicht. |
| SrcUserScopeId | Optional | String | Die Bereichs-ID (z. B. die Microsoft Entra-Verzeichnis-ID), in der SrcUserId und SrcUsername definiert sind. Weitere Informationen und eine Liste der zulässigen Werte finden Sie unter UserScopeId im Artikel Schemaübersicht. |
| SrcUserSessionId | Optional | String | Die eindeutige ID der Anmeldesitzung des Akteurs. Beispiel: 102pTUgC3p8RIqHvzxLCHnFlg |
Inspektionsfelder
| Feld | Klasse | Typ | Hinweise |
|---|---|---|---|
| Regel | Alias | Zeichenfolge | Entweder der Wert von RuleName oder der Wert von RuleNumber. Bei Verwendung des Werts RuleNumber sollte der Typ in eine Zeichenfolge konvertiert werden. |
| RuleNumber | Optional | INT | Die Nummer der Regel, die der Warnung zugeordnet ist. zum Beispiel. 123456 |
| RuleName | Optional | Zeichenfolge | Der Name oder die ID der Regel, die der Warnung zugeordnet ist. zum Beispiel. Server PSEXEC Execution via Remote Access |
| Bedrohungs-ID | Optional | Zeichenfolge | Die ID der in der Warnung identifizierten Bedrohung oder Schadsoftware. zum Beispiel. 1234567891011121314 |
| Name der Bedrohung | Optional | Zeichenfolge | Der Name der in der Warnung identifizierten Bedrohung oder Schadsoftware. zum Beispiel. Init.exe |
| BedrohungErsteGemeldete Zeit | Optional | Datum/Uhrzeit | Datum und Uhrzeit, zu dem die Bedrohung zum ersten Mal gemeldet wurde. zum Beispiel. 2024-09-19T10:12:10.0000000Z |
| BedrohungLetzteGemeldete Zeit | Optional | Datum/Uhrzeit | Datum und Uhrzeit, zu dem die Bedrohung zuletzt gemeldet wurde. zum Beispiel. 2024-09-19T10:12:10.0000000Z |
| BedrohungKategorie | Optional | String | Die Kategorie der in der Warnung identifizierten Bedrohung oder Schadsoftware. Unterstützte Werte sind: Malware, , Ransomware, Trojan, VirusWormAdwareSpyware, , RootkitCryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| ThreatIsActive | Optional | Boolesch | Gibt an, ob die Bedrohung derzeit aktiv ist. Unterstützte Werte sind: True, False |
| Bedrohungs-Risiko-Stufe | Optional | RiskLevel (Integer) | Die mit der Bedrohung verbundene Risikostufe. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. Hinweis: Der Wert ist im Quelldatensatz möglicherweise in einer anderen Skala angegeben und muss auf diese Skala normalisiert werden. Der ursprüngliche Wert muss im Feld ThreatRiskLevelOriginal gespeichert werden. |
| ThreatOriginalRiskLevel | Optional | Zeichenfolge | Die Vom Ursprungssystem gemeldete Risikostufe. |
| BedrohungVertrauen | Optional | ConfidenceLevel (Integer) | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
| BedrohungOriginalVertrauen | Optional | Zeichenfolge | Das Konfidenzniveau, wie vom ursprünglichen System gemeldet. |
Schemaupdates
Im Folgenden sind die Änderungen in Version 0.1.1 des Schemas aufgeführt:
- Inspektionsfelder wurden hinzugefügt.
- Die Quell-Geolokalisierungsfelder wurden hinzugefügt.
- Die Quellfelder wurden hinzugefügt:
SrcDescription, , ,SrcOriginalRiskLevel,SrcOriginalUserTypeSrcPortNumberSrcRiskLevelSrcUserScopeSrcUserScopeIdSrcUserSessionId``SrcUserUid - Die Aliase
Srcwurden hinzugefügt undUser - Die Felder
SrcUserUidundThreatFieldsind in der TabelleASimDhcpEventLogsverfügbar, sind aber nicht Teil des Schemas.
Nächste Schritte
Weitere Informationen finden Sie unter
- Sehen Sie sich das ASIM-Webinar an, oder befassen Sie sich mit den Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)