Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El modelo de información de DHCP se utiliza para describir los eventos notificados por un servidor DHCP, y Microsoft Sentinel lo usa para habilitar el análisis independiente del origen.
Para obtener más información, consulte Normalización y Modelo avanzado de información de seguridad (SIEM).
Información general del esquema
El esquema DHCP de ASIM representa la actividad del servidor DHCP, lo que incluye atender solicitudes de direcciones IP de DHCP concedidas desde sistemas cliente y actualizar un servidor DNS con las concesiones otorgadas.
Los campos más importantes de un evento DHCP son SrcIpAddr y SrcHostname, con los que el servidor DHCP enlaza al otorgarles la concesión y tienen asignados un alias mediante los campos IpAddr y Hostname respectivamente. El campo SrcMacAddr también es importante, ya que representa la máquina cliente que se usa cuando no se alquila una dirección IP.
Un servidor DHCP puede rechazar un cliente, ya sea debido a problemas de seguridad o por la saturación de la red. También puede poner en cuarentena un cliente mediante la concesión de una dirección IP que le conectaría a una red limitada. Los campos EventResult, EventResultDetails y DvcAction proporcionan información sobre la respuesta y la acción del servidor DHCP.
La duración de una concesión se almacena en el campo DhcpLeaseDuration.
Detalles del esquema
ASIM se alinea con el proyecto Open Source Security Events Metadata (OSSEM) [Metadatos de eventos de seguridad de código abierto (OSSEM)].
OSSEM no tiene un esquema DHCP comparable al esquema DHCP de ASIM.
Campos comunes de ASIM
Importante
Los campos comunes a todos los esquemas se describen detalladamente en el artículo Campos comunes de ASIM.
Campos comunes con directrices específicas
La lista siguiente solo enumera los campos que tienen directrices específicas para los eventos de DNS:
| Campo | Clase | Tipo | Descripción |
|---|---|---|---|
| EventType | Mandatory | Enumerated | Indica la operación notificada por el registro. Los valores posibles son Assign, Renew, Release y DNS Update. Ejemplo: Assign |
| EventSchemaVersion | Mandatory | SchemaVersion (cadena) | La versión del esquema documentada aquí es la 0.1.1. |
| EventSchema | Mandatory | String | El nombre del esquema documentado aquí es DhcpEvent. |
| Campos dvc | - | - | Para los eventos DNS, los campos de dispositivo hacen referencia al sistema que informa del evento DNS. |
Todos los campos comunes
Los campos que aparecen en la tabla son comunes a todos los esquemas de ASIM. Cualquier directriz especificada anteriormente invalida las directrices generales para el campo. Por ejemplo, un campo podría ser opcional en general, pero obligatorio para un esquema específico. Para obtener más información sobre cada campo, consulte el artículo Campos comunes de ASIM .
| Clase | Fields |
|---|---|
| Mandatory |
-
Recuento de eventos - EventoInicio - EventoEndTime - Tipo de evento - EventoResultado - EventProduct - ProveedorDeevento - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
DetallesResultadoEvento - Severidad del evento - EventUid - DvcIpAddr - DvcNombre de host - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcionales |
-
Mensaje de evento - Subtipo de evento - EventoOriginalUid - EventoOriginalType - Subtipo OriginalEvento - EventoOriginalDetallesResultados - EventoOriginalSeveridad - EventProductVersion - EventReportUrl - Propietario del evento - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos adicionales - Descripción de Dvc - DvcScopeId - DvcScope |
Campos específicos de DHCP
| Campo | Clase | Tipo | Notas |
|---|---|---|---|
| DhcpLeaseDuración | Opcionales | Entero | Longitud de la concesión otorgada a un cliente, en segundos. |
| DhcpSessionId | Opcionales | string | Identificador de sesión notificado por el dispositivo de informes. Para el servidor DHCP de Windows, establezca esta opción en el campo TransactionID. Ejemplo: 2099570186 |
| SessionId | Alias | String | Alias para DhcpSessionId |
| DhcpDuración de la sesión | Opcionales | Entero | Cantidad de tiempo, en milisegundos, para la finalización de la sesión de DHCP. Ejemplo: 1500 |
| Duration | Alias | Alias de DhcpSessionDuration | |
| DhcpSrcDHCId | Opcionales | String | Identificador de cliente DHCP, tal como se define en RFC4701 |
| DhcpCircuitId | Opcionales | String | Identificador de circuito DHCP, tal como se define en RFC3046 |
| DhcpSubscriberId | Opcionales | String | Identificador del suscriptor DHCP, tal como se define en RFC3993 |
| DhcpVendorClassId | Opcionales | String | Identificador de clase de proveedor DHCP, tal como se define en RFC3925 |
| DhcpVendorClass | Opcionales | String | Clase de proveedor DHCP, tal como se define en RFC3925 |
| DhcpUserClassId | Opcionales | String | Identificador de clase de usuario DHCP, tal como se define en RFC3004. |
| DhcpUserClass | Opcionales | String | Clase de usuario DHCP, tal como se define en RFC3004 |
| RequestedIpAddr | Opcionales | Dirección IP | Dirección IP solicitada por el cliente DHCP, cuando esté disponible. Ejemplo: 192.168.12.3 |
Campos del sistema de origen
El sistema de origen es el sistema que solicita un arrendamiento DHCP
| Campo | Clase | Tipo | Notas |
|---|---|---|---|
| Fuente | Alias | String | Identificador único del dispositivo de destino. Este campo puede ser un alias de los campos SrcDvcId, SrcHostname o SrcIpAddr. Ejemplo: 192.168.12.1 |
| SrcIpAddr | Mandatory | Dirección IP | Dirección IP asignada al cliente por el servidor DHCP. Ejemplo: 192.168.12.1 |
| IpAddr | Alias | Alias de SrcIpAddr | |
| SrcHostname | Mandatory | Nombre de host (cadena) | Nombre de host del dispositivo que solicita la concesión DHCP. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP pertinente en este campo. Ejemplo: DESKTOP-1282V4D |
| Nombre de host | Alias | Alias de SrcHostname | |
| SrcDomain | Recomendado | Dominio (Cadena) | Dominio del dispositivo de origen. Ejemplo: Contoso |
| SrcDomainType | Condicional | Enumerated | Tipo de SrcDomain, si se conoce. Los valores posibles son: - Windows (por ejemplo, contoso)- FQDN (por ejemplo, microsoft.com)Obligatorio si se usa el campo SrcDomain. |
| SrcFQDN | Opcionales | FQDN (Cuerda) | Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. Nota: Este campo admite tanto el formato de FQDN tradicional como el formato de dominio\nombre de host de Windows. El campo SrcDomainType refleja el formato usado. Ejemplo: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcionales | String | Identificador del dispositivo de origen tal y como se muestra en el registro. Por ejemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcionales | String | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcScope | Opcionales | String | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcDvcIdType | Condicional | Enumerated | Tipo de SrcDvcId, si se conoce. Los valores posibles son: - AzureResourceId- MDEidSi hay varios identificadores disponibles, use el primero de la lista y almacene los demás en los campos SrcDvcAzureResourceId y SrcDvcMDEid, respectivamente. Nota: Este campo es necesario si se usa el campo SrcDvcId. |
| SrcDeviceType | Opcionales | Enumerated | Tipo del dispositivo de origen. Los valores posibles son: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Opcionales | String | Texto descriptivo asociado al dispositivo. Por ejemplo: Primary Domain Controller. |
| SrcGeoCountry | Opcionales | País | País o región asociado a la dirección IP de origen. Ejemplo: USA |
| SrcGeoRegion | Opcionales | Región | Región asociada con la dirección IP de origen. Ejemplo: Vermont |
| SrcGeoCity | Opcionales | City | Ciudad asociada con la dirección IP de origen. Ejemplo: Burlington |
| SrcGeoLatitude | Opcionales | Latitud | Latitud de la coordenada geográfica asociada con la dirección IP de origen. Ejemplo: 44.475833 |
| SrcGeoLongitude | Opcionales | Longitud | Longitud de la coordenada geográfica asociada con la dirección IP de origen. Ejemplo: 73.211944 |
| SrcRiskLevel | Opcionales | Entero | Nivel de riesgo asociado con el origen. El valor debe ajustarse a un intervalo de 0 a 100, con 0 para inofensivo y 100 para alto riesgo.Ejemplo: 90 |
| SrcOriginalRiskLevel | Opcionales | String | El nivel de riesgo asociado al origen, tal como lo notifica el dispositivo que informa. Ejemplo: Suspicious |
| SrcPortNumber | Opcionales | Entero | Puerto IP desde el que se originó la conexión. Es posible que no sea importante en sesiones que contengan varias conexiones. Ejemplo: 2335 |
Campos del usuario de origen
| Campo | Clase | Tipo | Notas |
|---|---|---|---|
| SrcUserId | Opcionales | String | Representación única, alfanumérica y legible por una máquina del usuario de origen. Para obtener más información y conocer los campos alternativos para los identificadores adicionales, consulteEntidad User. Ejemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Condicional | UserIdType | Tipo del identificador almacenado en el campo SrcUserId. Para obtener más información y una lista de los valores permitidos, consulte UserIdType en el artículo Introducción al esquema. |
| SrcNombre de usuario | Opcionales | Nombre de usuario (cadena) | El nombre de usuario de origen, incluida la información del dominio cuando esté disponible. Para más información, consulte la Entidad Usuario. Ejemplo: AlbertE |
| User | Alias | Alias de SrcUsername | |
| SrcUsernameType | Condicional | Nombre de usuarioTipo | Especifica el tipo de nombre de usuario almacenado en el campo SrcUsername. Para obtener más información y una lista de los valores permitidos, consulte UsernameType en el artículo Introducción al esquema. Ejemplo: Windows |
| SrcUserType | Opcionales | Tipo de Usuario | Tipo del usuario de origen. Para obtener más información y una lista de los valores permitidos, consulte UserType en el artículo Introducción al esquema. Por ejemplo: Guest |
| SrcOriginalUserType | Opcionales | String | El tipo de usuario de origen original, si lo proporciona el origen. |
| SrcMacAddr | Mandatory | Dirección MAC | Dirección MAC del cliente que solicita una concesión DHCP. Nota: El servidor DHCP de Windows registra la dirección MAC de forma no estándar, omitiendo los dos puntos, que el analizador debe insertar. Ejemplo: 06:10:9f:eb:8f:14 |
| SrcUserScope | Opcionales | String | Ámbito, como el inquilino de Microsoft Entra, en el que se definen SrcUserId y SrcUsername. Para obtener más información y una lista de los valores permitidos, consulte UserScope en el artículo Introducción al esquema. |
| SrcUserScopeId | Opcionales | String | El identificador del ámbito, como el identificador de directorio de Microsoft Entra, en el que se definen SrcUserId y SrcUsername. Para más información y para ver una lista de los valores permitidos, consulte UserScopeId en el artículo Introducción al esquema. |
| SrcUserSessionId | Opcionales | String | Identificador único de la sesión de inicio de sesión del actor. Ejemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos de inspección
| Campo | Clase | Tipo | Notas |
|---|---|---|---|
| Regla | Alias | string | El valor de RuleName o el valor de RuleNumber. Si se usa el valor de RuleNumber, el tipo se debe convertir en cadena. |
| RuleNumber | Opcionales | int | Número de la regla asociada a la alerta. p ej. 123456 |
| RuleName | Opcionales | string | Nombre o identificador de la regla asociada a la alerta. p ej. Server PSEXEC Execution via Remote Access |
| ThreatId | Opcionales | string | Identificador de la amenaza o malware identificado en la alerta. p ej. 1234567891011121314 |
| ThreatCategory (Categoría de amenaza) | Opcionales | String | Categoría de la amenaza o malware identificado en la alerta. Los valores admitidos son: , , , , MalwareRansomwareTrojanVirusWormAdwareSpywareRootkitCryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| ThreatName | Opcionales | string | Nombre de la amenaza o malware identificado en la alerta. p ej. Init.exe |
| ThreatConfidence (Confianza) | Opcionales | Nivel de confianza (entero) | Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatOriginalConfidence | Opcionales | string | Nivel de confianza notificado por el sistema de origen. |
| ThreatRiskLevel | Opcionales | Nivel de riesgo (entero) | Nivel de riesgo asociado a la amenaza. El nivel debe ser un número entre 0 y 100. Nota: El valor se puede proporcionar en el registro de origen mediante una escala diferente, que se debe normalizar a esta. El valor original debe almacenarse en el campo ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcionales | string | Nivel de riesgo notificado por el sistema de origen. |
| ThreatIsActive | Opcionales | bool | Indica si la amenaza está activa actualmente. Los valores admitidos son: True, False |
| ThreatFirstReportedTime | Opcionales | Fecha y hora | Fecha y hora en que se informó por primera vez la amenaza. p ej. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcionales | Fecha y hora | Fecha y hora en que se notificó por última vez la amenaza. p ej. 2024-09-19T10:12:10.0000000Z |
Actualizaciones del esquema
A continuación se presentan los cambios en la versión 0.1.1 del esquema:
- Añadí campos de inspección.
- Añadimos los campos de geolocalización de origen.
- Se añadieron los campos fuente:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,SrcPortNumber,SrcRiskLevelSrcUserScope,SrcUserScopeId,SrcUserSessionId``SrcUserUid - Añadió los alias
SrcyUser - Los campos
SrcUserUidyThreatFieldestán disponibles en laASimDhcpEventLogstabla pero no forman parte del esquema.
Pasos siguientes
Para más información, consulte:
- El seminario web de ASIM o las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)