Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le modèle CIM DHCP sert à décrire les événements signalés par un serveur DHCP. Microsoft Sentinel l’utilise pour permettre une analyse indépendante de la source.
Pour plus d’informations, consultez Normalisation et Advanced SIEM Information Model (ASIM).
Vue d’ensemble du schéma
Le schéma DHCP ASIM représente l’activité du serveur DHCP, incluant le service des demandes pour l’adresse IP DHCP louée à des systèmes clients et la mise à jour d’un serveur DNS avec les baux accordés.
Les principaux champs dans un événement DHCP sont les champs SrcIpAddr et SrcHostname que le serveur DHCP lie en accordant le bail, qui ont respectivement pour alias les champs IpAddr et Hostname. Le champ SrcMacAddr est également important, car il représente l’ordinateur client utilisé lorsqu’une adresse IP n’est pas louée.
Un serveur DHCP peut rejeter un client, soit en raison de problèmes de sécurité, soit en raison d’une saturation du réseau. Il peut également mettre en quarantaine un client en lui allouant une adresse IP qui le connecte à un réseau limité. Les champs EventResult, EventResultDetails et DvcAction fournissent des informations sur l’action et la réponse du serveur DHCP.
La durée d’un bail est stockée dans le champ DhcpLeaseDuration.
Détails du schéma
ASIM est aligné avec le projet de métadonnées des événements de sécurité open source (Open Source Security Events Metadata, OSSEM).
OSSEM n’a pas de schéma DHCP comparable au schéma DHCP ASIM.
Champs ASIM communs
Important
Les champs communs à tous les schémas sont décrits en détail dans l’article Champs communs ASIM.
Champs communs avec des instructions spécifiques
La liste suivante mentionne uniquement les champs qui ont des instructions spécifiques pour des événements DHCP :
| Champ | Classe | Type | Description |
|---|---|---|---|
| EventType | Obligatoire | Énuméré | Indique l’opération signalée par l’enregistrement. Les valeurs possibles sont Assign, Renew, Release et DNS Update. Exemple : Assign |
| EventSchemaVersion | Obligatoire | SchemaVersion (chaîne) | La version du schéma documentée ici est la 0.1.1. |
| EventSchema | Obligatoire | Chaîne | Nom du schéma documenté ici, DhcpEvent. |
| Champs Dvc | - | - | Pour les événements DHCP, les champs d’appareil font référence au système qui signale l’événement DHCP. |
Tous les champs communs
Les champs qui apparaissent dans la table sont communs à tous les schémas ASIM. Toute instruction spécifiée ci-dessus remplace les instructions générales pour le champ. Par exemple, un champ peut être facultatif en général, mais obligatoire pour un schéma spécifique. Pour plus d’informations sur chaque champ, consultez l’article ASIM Common Fields .
| Classe | Fields |
|---|---|
| Obligatoire |
-
EventCount - EventStartTime - ÉvénementEndTemps - Eventtype - EventResult - EventProduct - ÉvénementVendor - EventSchema - EventSchemaVersion - Cvn |
| Recommandé |
-
EventResultDétails - Sévérité des événements - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Facultatif |
-
EventMessage - ÉvénementSous-Type - ÉvénementOriginalUid - EventOriginalType - ÉvénementOriginalSous-Type - ÉvénementOriginalRésultatDétails - ÉvénementOriginalSévérité - EventProductVersion - ÉvénementReportUrl - Propriétaire d’événements - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - ChampsAdditionnels - DvcDescription - DvcScopeId - DvcScope |
Champs spécifiques de DHCP
| Champ | Classe | Type | Remarques |
|---|---|---|---|
| DhcpLeaseDuration | Facultatif | Integer | Durée du bail accordé à un client, exprimée en secondes. |
| DhcpSessionId | Facultatif | string | Identificateur de session signalé par le périphérique de création de rapport. Pour le serveur DHCP Windows, défini sur le champ TransactionID. Exemple : 2099570186 |
| SessionId | Alias | Chaîne | Alias pour DhcpkSessionId |
| Durée de la session DHCP | Facultatif | Integer | Durée, en millisecondes, de la session DHCP. Exemple : 1500 |
| Durée | Alias | Alias pour DhcpSessionDuration. | |
| DhcpSrcDHCId | Facultatif | Chaîne | ID client DHCP, tel que défini par RFC4701. |
| DhcpCircuitId | Facultatif | Chaîne | ID de circuit DHCP, tel que défini par RFC3046. |
| DhcpSubscriberId | Facultatif | Chaîne | ID d’abonné DHCP, tel que défini par RFC3993. |
| DhcpVendorClassId | Facultatif | Chaîne | ID de classe de fournisseur DHCP, tel que défini par RFC3925. |
| DhcpVendorClass | Facultatif | Chaîne | Classe de fournisseur DHCP, telle que définie par RFC3925. |
| DhcpUserClassId | Facultatif | Chaîne | ID de classe d’utilisateur DHCP, tel que défini par RFC3004. |
| DhcpUserClass | Facultatif | Chaîne | Classe d’utilisateur DHCP, telle que définie par RFC3004. |
| RequestedIpAddr | Facultatif | Adresse IP | Adresse IP demandée par le client DHCP, si disponible. Exemple : 192.168.12.3 |
Champs Système source
Le système source est celui qui demande un bail DHCP
| Champ | Classe | Type | Remarques |
|---|---|---|---|
| Src | Alias | Chaîne | Identificateur unique de l’appareil source. Ce champ peut prendre l’alias des champs SrcDvcId, SrcHostname et SrcIpAddr. Exemple : 192.168.12.1 |
| SrcIpAddr | Obligatoire | Adresse IP | Adresse IP attribuée au client par le serveur DHCP. Exemple : 192.168.12.1 |
| IpAddr | Alias | Alias pour SrcIpAddr | |
| SrcHostname | Obligatoire | Nom d’hôte (chaîne) | Nom d’hôte de l’appareil demandant le bail DHCP. Si aucun nom de périphérique n’est disponible, stockez l’adresse IP pertinente dans ce champ. Exemple : DESKTOP-1282V4D |
| Nom d’hôte | Alias | Alias pour SrcHostname | |
| SrcDomain | Recommandé | Domaine (chaîne) | Domaine de l’appareil source. Exemple : Contoso |
| SrcDomainType | Logique conditionnelle | Énuméré | Type de SrcDomain, s’il est connu. Les valeurs possibles incluent : - Windows(par exemple :contoso)- FQDN(par exemple :microsoft.com)Obligatoire si SrcDomain est utilisé. |
| SrcFQDN | Facultatif | FQDN (Corde) | Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant. Remarque : ce champ prend en charge à la fois le format FQDN traditionnel et le format Windows domain\hostname. Le champ SrcDomainType reflète le format utilisé. Exemple : Contoso\DESKTOP-1282V4D |
| SrcDvcId | Facultatif | Chaîne | ID de l’appareil source comme indiqué dans l’enregistrement. Par exemple : ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Facultatif | Chaîne | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. SrcDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScope | Facultatif | Chaîne | Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcSubscription correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcIdType | Logique conditionnelle | Énuméré | Type de SrcDvcId, s’il est connu. Les valeurs possibles incluent : - AzureResourceId- MDEidSi plusieurs ID sont disponibles, utilisez le premier de la liste ci-dessus, et stockez les autres à l’aide des noms de champ SrcDvcAzureResourceId et SrcDvcMDEid, respectivement. Remarque: ce champ est obligatoire si le champ SrcDvcld est utilisé. |
| SrcDeviceType | Facultatif | Énuméré | Type de l’appareil source. Les valeurs possibles incluent : - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Facultatif | Chaîne | Obtient le texte descriptif associé à l’appareil. Par exemple : Primary Domain Controller. |
| SrcGeoCountry | Facultatif | Pays | Pays/région associé à l’adresse IP source. Exemple : USA |
| SrcGeoRegion | Facultatif | Région | Région associée à l’adresse IP source. Exemple : Vermont |
| SrcGeoCity | Facultatif | Ville | Ville associée à l’adresse IP source. Exemple : Burlington |
| SrcGeoLatitude | Facultatif | Latitude | Latitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 44.475833 |
| SrcGeoLongitude | Facultatif | Longitude | Longitude de la coordonnée géographique associée à l’adresse IP source. Exemple : 73.211944 |
| SrcRiskLevel | Facultatif | Integer | Niveau de risque associé à la source. La valeur doit être ajustée dans une plage allant de 0 à 100, 0 étant un risque bénin et 100 étant un risque élevé.Exemple : 90 |
| SrcOriginalRiskLevel | Facultatif | Chaîne | Niveau de risque associé à la source, comme indiqué par l’appareil de création de rapports. Exemple : Suspicious |
| SrcPortNumber | Facultatif | Integer | Port IP d’où provient la connexion. Peut ne pas être pertinent pour une session comprenant plusieurs connexions. Exemple : 2335 |
Champs de l’utilisateur source
| Champ | Classe | Type | Remarques |
|---|---|---|---|
| SrcUserId | Facultatif | Chaîne | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur source. Pour plus d’informations et pour obtenir d’autres champs d’ID supplémentaires, consultez L’entité Utilisateur. Exemple : S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Logique conditionnelle | UserIdType | Type de l’ID stocké dans le champ SrcUserId. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserIdType dans l'article Vue d’ensemble du schéma. |
| SrcUsername | Facultatif | Nom d’utilisateur (chaîne) | Nom de l’utilisateur source, y compris les informations de domaine, le cas échéant. Pour plus d’informations, consultez L’entité utilisateur. Exemple : AlbertE |
| Utilisateur | Alias | Alias pour SrcUsername. | |
| SrcUsernameType | Logique conditionnelle | UsernameType | Spécifie le type du nom d’utilisateur stocké dans le champ SrcUsername. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UsernameType dans l'article Vue d’ensemble du schéma. Exemple : Windows |
| SrcUserType | Facultatif | Type d'utilisateur | Type de l’utilisateur source Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserIdType dans l'article Vue d’ensemble du schéma. Par exemple : Guest |
| SrcOriginalUserType | Facultatif | Chaîne | Le type d'utilisateur source original, s'il est fourni par la source. |
| SrcMacAddr | Obligatoire | Adresse MAC | Adresse MAC du client demandant un bail DHCP. Remarque : Le serveur DHCP Windows journalise l’adresse MAC d’une manière non standard, omettant les deux-points, qui doivent être insérés par l’analyseur. Exemple : 06:10:9f:eb:8f:14 |
| SrcUserScope | Facultatif | Chaîne | Étendue, par exemple le locataire Microsoft Entra, dans laquelle SrcUserId et SrcUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScope dans l’article Vue d’ensemble du schéma. |
| SrcUserScopeId | Facultatif | Chaîne | L’ID d’étendue, par exemple l’ID d’annuaire Microsoft Entra, dans laquelle SrcUserId et SrcUsername sont définis. Pour plus d’informations et pour obtenir la liste des valeurs autorisées, consultez UserScopeId dans l’article Vue d’ensemble du schéma. |
| SrcUserSessionId | Facultatif | Chaîne | ID unique de la session de connexion de l’intervenant. Exemple : 102pTUgC3p8RIqHvzxLCHnFlg |
Champs d’inspection
| Champ | Classe | Type | Remarques |
|---|---|---|---|
| Règle | Alias | string | Valeur de RuleName ou valeur de RuleNumber. Si la valeur de RuleNumber est utilisée, le type doit être converti en chaîne. |
| RuleNumber | Facultatif | int | Numéro de la règle associée à l’alerte. par exemple, 123456 |
| RuleName | Facultatif | string | Nom ou ID de la règle associée à l’alerte. par exemple, Server PSEXEC Execution via Remote Access |
| ThreatId | Facultatif | string | ID de la menace ou des programmes malveillants identifiés dans l’alerte. par exemple, 1234567891011121314 |
| ThreatCategory | Facultatif | Chaîne | Catégorie des menaces ou programmes malveillants identifiés dans l’alerte. Les valeurs prises en charge sont les suivantes : Malware, , , RansomwareTrojanVirusWormAdwareSpywareRootkitCryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| ThreatName | Facultatif | string | Nom de la menace ou des programmes malveillants identifiés dans l’alerte. par exemple, Init.exe |
| ThreatConfidence | Facultatif | Niveau de confiance (entier) | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatOriginalConfidence | Facultatif | string | Niveau de confiance tel qu’indiqué par le système d’origine. |
| ThreatRiskLevel | Facultatif | RiskLevel (entier) | Niveau de risque associé à la menace. Le niveau doit être un nombre compris entre 0 et 100. Remarque : la valeur peut être fournie dans l’enregistrement source en utilisant une échelle différente, qui doit être normalisée à cette échelle. La valeur d’origine doit être stockée dans le champ ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Facultatif | string | Niveau de risque indiqué par le système d’origine. |
| ThreatIsActive | Facultatif | bool | Indique si la menace est actuellement active. Les valeurs prises en charge sont les suivantes : True, False |
| ThreatFirstReportedTime | Facultatif | Date/heure | Date et heure à laquelle la menace a été signalée pour la première fois. par exemple, 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Facultatif | Date/heure | Date et heure à laquelle la menace a été signalée pour la dernière fois. par exemple, 2024-09-19T10:12:10.0000000Z |
Mises à jour du schéma
Voici les modifications apportées à la version 0.1.1 du schéma :
- Ajout de champs d’inspection.
- Ajout des champs de géolocalisation source.
- Ajout des champs sources :
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,SrcPortNumber,SrcRiskLevel,SrcUserScopeSrcUserScopeIdSrcUserSessionId``SrcUserUid - Ajout des alias
SrcetUser - Les champs
SrcUserUidetThreatFieldsont disponibles dans leASimDhcpEventLogstableau mais ne font pas partie du schéma.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :