DHCP 情報モデルは、DHCP サーバーによって報告されるイベントを記述するために使用され、ソースに依存しない分析を有効にするために Microsoft Azure Sentinel によって使用されます。
詳細については、「正規化と Advanced Security Information Model (ASIM)」を参照してください。
スキーマの概要
ASIM DHCP スキーマは、DHCP サーバーの活動を表します。これには、クライアント システムからリースされた DHCP IP アドレスを求める要求の処理や、付与されたリースを使用した DNS サーバーの更新が含まれます。
DHCP イベントの最も重要なフィールドは、SrcIpAddr と SrcHostname です。これらは DHCP サーバーがリースを付与することによってバインドされ、それぞれ IpAddr と Hostname のフィールドが別名になっています。 SrcMacAddr フィールドは、IP アドレスがリースされていないときに使用されるクライアント コンピューターを表すので、重要でもあります。
DHCP サーバーでクライアントが拒否される場合があります。それは、セキュリティ上の懸念があるため、またはネットワークが飽和状態になっているためです。 また、クライアントが検疫される場合もあります。その場合は、制限のあるネットワークに接続するための IP アドレスがリースされます。 EventResult、EventResultDetails、DvcAction の各フィールドには、DHCP サーバーの応答とアクションについての情報が提供されます。
リースの期間は、DhcpLeaseDuration フィールドに格納されます。
スキーマの詳細
ASIM は、オープン ソース セキュリティ イベント メタデータ (OSSEM) プロジェクトに合わせて調整されます。
OSSEM には、ASIM DHCP スキーマに相当する DHCP スキーマがありません。
一般的な ASIM フィールド
重要
すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
特定のガイドラインを持つ共通フィールド
次の一覧には、DHCP イベントに関する具体的なガイドラインが含まれたフィールドを示しています。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| EventType | Mandatory | Enumerated | レコードによって報告される操作を示します。 指定できる値は、 Assign、Renew、Release、および DNS Update です。 例: Assign |
| EventSchemaVersion | Mandatory | SchemaVersion(文字列) | ここで記載されているスキーマのバージョンは 0.1.1です。 |
| EventSchema | Mandatory | String | ここに記載されているスキーマの名前は DhcpEvent です。 |
| Dvc フィールド | - | - | DHCP イベントの場合、デバイス フィールドは DHCP イベントを報告するシステムを指します。 |
すべての共通フィールド
テーブルに表示されるフィールドは、すべての ASIM スキーマに共通です。 上で指定されているガイドラインは、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、 ASIM 共通フィールド に関する記事を参照してください。
| クラス | Fields |
|---|---|
| Mandatory |
-
イベントカウント - イベント開始時間 - イベント終了時間 - イベントタイプ - イベント結果 - イベント製品 - イベントベンダー - イベントスキーマ - EventSchemaVersion (イベントスキーマバージョン) - DVCの |
| 推奨 |
-
EventResult詳細 - イベント重大度 - イベントUid - DvcIpAddr - Dvcホスト名 - Dvcドメイン - Dvcドメインタイプ - DvcFQDNの - DvcId - DvcIdType - Dvcアクション |
| オプション |
-
イベントメッセージ - イベントサブタイプ - イベントオリジナルUid - イベントオリジナルタイプ - EventOriginalサブタイプ - EventOriginalResult詳細 - EventOriginalSeverity (イベントオリジナル重大度) - イベント製品バージョン - イベントレポートURL - イベントオーナー - DvcZone の - DvcMacAddr の - DVCOS - DVCOSバージョン - Dvcオリジナルアクション - Dvcインターフェイス - 追加フィールド - DVCの説明 - DvcScopeId (英語) - Dvcスコープ |
DHCP 固有のフィールド
| フィールド | クラス | Type | ノート |
|---|---|---|---|
| DHCPリース期間 | オプション | Integer | クライアントに付与されたリースの長さ (秒単位)。 |
| DhcpSessionId | オプション | 文字列 | レポート デバイスによって報告されたセッション識別子。 Windows DHCP サーバーの場合は、これを TransactionID フィールドに設定します。 例: 2099570186 |
| SessionId | エイリアス | String | DhcpSessionId のエイリアス |
| DHCPセッションの持続時間 | オプション | Integer | DHCP セッションの完了にかかる時間 (ミリ秒単位)。 例: 1500 |
| Duration | エイリアス | DhcpSessionDuration の別名 | |
| DhcpSrcDHCId | オプション | String | RFC4701 で定義されているとおりの DHCP クライアント ID |
| DhcpCircuitId | オプション | String | RFC3046 で定義されているとおりの DHCP 回線 ID |
| DhcpSubscriberId | オプション | String | RFC3993 で定義されているとおりの DHCP サブスクライバー ID |
| DhcpVendorClassId | オプション | String | RFC3925 で定義されているとおりの DHCP ベンダー クラス ID。 |
| DhcpVendorClass | オプション | String | RFC3925 で定義されているとおりの DHCP ベンダー クラス。 |
| DhcpUserClassId | オプション | String | RFC3004で定義されている DHCP ユーザー クラス ID。 |
| DhcpUserClass | オプション | String | RFC3004 で定義されているとおりの DHCP ユーザー クラス。 |
| RequestedIpAddr | オプション | IP アドレス | DHCP クライアントによって要求された IP アドレス (使用可能な場合)。 例: 192.168.12.3 |
ソース システム フィールド
ソースシステムはDHCPリースを要求するシステムです
| フィールド | クラス | Type | ノート |
|---|---|---|---|
| SRCの | エイリアス | String | ソース デバイスの一意識別子。 このフィールドは、SrcDvcId、SrcHostname、または SrcIpAddr フィールドのエイリアスになる場合があります。 例: 192.168.12.1 |
| SrcIpAddr の | Mandatory | IP アドレス | DHCP サーバーによってクライアントに割り当てられた IP アドレス。 例: 192.168.12.1 |
| IpAddr | エイリアス | SrcIpAddr の別名 | |
| Srcホスト名 | Mandatory | ホストネーム(文字列) | DHCP リースを要求しているデバイスのホスト名。 デバイス名を使用できない場合は、関連する IP アドレスをこのフィールドに格納します。 例: DESKTOP-1282V4D |
| hostname | エイリアス | SrcHostname の別名 | |
| Srcドメイン | 推奨 | ドメイン(文字列) | ソース デバイスのドメイン。 例: Contoso |
| Srcドメインタイプ | 条件付き | Enumerated |
SrcDomain の種類 (既知の場合)。 次の値を指定できます。 - Windows (例: contoso)- FQDN (例: microsoft.com)SrcDomain が使用されている場合は必須です。 |
| SrcFQDN | オプション | FQDN(文字列) | ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDvcId (英語) | オプション | String | レコードで報告されるソース デバイスの ID。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcスコープID | オプション | String | デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcスコープ | オプション | String | デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcIdType | 条件付き | Enumerated |
SrcDvcId の種類 (既知の場合)。 次の値を指定できます。 - AzureResourceId- MDEid複数の ID を使用できる場合は、上のリストの最初のものを使用し、他のものはそれぞれ SrcDvcAzureResourceId および SrcDvcMDEid に格納します。 注: SrcDvcId が使用されている場合、このフィールドは必須です。 |
| SrcDeviceType | オプション | Enumerated | ソース デバイスの種類。 次の値を指定できます。 - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | オプション | String | デバイスに関連付けられる説明のテキスト。 たとえば、 Primary Domain Controllerと指定します。 |
| SrcGeoCountry | オプション | Country | 送信元 IP アドレスに関連付けられている国/地域。 例: USA |
| SrcGeoRegion | オプション | リージョン | 発信元 IP アドレスに関連付けられているリージョン。 例: Vermont |
| SrcGeoCity | オプション | 市区町村 | 発信元 IP アドレスに関連付けられている都市。 例: Burlington |
| SrcGeoLatitude | オプション | 緯度 | 発信元 IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| SrcGeoLongitude | オプション | 緯度 | 発信元 IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
| SrcRiskLevel | オプション | Integer | ソースに関連付けられているリスク レベル。 この値は、0 から 100 の範囲に調整する必要があります。0 は問題なし、100 は高リスクを意味します。例: 90 |
| SrcOriginalRiskLevel | オプション | String | レポート デバイスによって報告された、ソースに関連付けられているリスク レベル。 例: Suspicious |
| SrcPortNumber | オプション | Integer | 接続元の IP ポート。 複数の接続を構成するセッションに関連しないことがあります。 例: 2335 |
ソース ユーザー フィールド
| フィールド | クラス | Type | ノート |
|---|---|---|---|
| SrcUserIdの | オプション | String | ソース ユーザーの、コンピューターが判読できる英数字の一意表現。 詳細と追加の ID の代替フィールドについては、「ユーザー エンティティ」を参照してください。 例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType (英語) | 条件付き | UserIdType | SrcUserId フィールドに格納されている ID の種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| Srcユーザー名 | オプション | ユーザー名(文字列) | 使用可能な場合はドメイン情報を含む、ソースのユーザー名。 詳細については、「ユーザー エンティティ」を参照してください。 例: AlbertE |
| User | エイリアス | SrcUsername の別名 | |
| Srcユーザー名タイプ | 条件付き | UsernameType |
SrcUsername フィールドに格納されているユーザー名の種類を指定します。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UsernameType」を参照してください。 例: Windows |
| SrcUserType | オプション | ユーザータイプ | 送信元ユーザーの種類。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 例: Guest |
| SrcOriginalUserType (英語) | オプション | String | ソースによって提供されている場合、元のソース ユーザーの種類。 |
| SrcMacAddr | Mandatory | MAC アドレス | DHCP リースを要求しているクライアントの MAC アドレス。 注: Windows DHCP サーバは、パーサーによって挿入する必要があるコロンを省略して、標準以外の方法で MAC アドレスをログに記録します。 例: 06:10:9f:eb:8f:14 |
| SrcUserScope | オプション | String | SrcUserId と SrcUsername が定義されている Microsoft Entra テナントなどのスコープ。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 |
| SrcUserScopeId | オプション | String | SrcUserId と SrcUsername が定義されている Microsoft Entra ディレクトリ ID などのスコープ ID。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| SrcUserSessionId | オプション | String | アクターのサインイン セッションの一意の ID。 例: 102pTUgC3p8RIqHvzxLCHnFlg |
検査のフィールド
| フィールド | クラス | Type | ノート |
|---|---|---|---|
| 規則 | エイリアス | 文字列 | RuleName の値と RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| RuleNumber | オプション | 整数 (int) | アラートに関連付けられているルールの数。 例えば。 123456 |
| RuleName | オプション | 文字列 | アラートに関連付けられているルールの名前または ID。 例えば。 Server PSEXEC Execution via Remote Access |
| ThreatId | オプション | 文字列 | アラートで識別された脅威またはマルウェアの ID。 例えば。 1234567891011121314 |
| ThreatCategory | オプション | String | アラートで識別された脅威またはマルウェアのカテゴリ。 サポートされる値は、 Malware、 Ransomware、 Trojan、 Virus、 Worm、 Adware、 Spyware、 Rootkit、 Cryptominor、 Phishing、 Spam、 MaliciousUrl、 Spoofing、 Security Policy Violation、 Unknown |
| ThreatName | オプション | 文字列 | アラートで識別された脅威またはマルウェアの名前。 例えば。 Init.exe |
| ThreatConfidence | オプション | 信頼度(整数) | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatOriginalConfidence | オプション | 文字列 | 元のシステムによって報告される信頼度レベル。 |
| ThreatRiskLevel | オプション | リスクレベル(整数) | 脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 注: 値は、異なるスケールを使用してソース レコードに提供される場合があり、このスケールに正規化する必要があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。 |
| ThreatOriginalRiskLevel | オプション | 文字列 | 発生元システムによって報告されるリスク レベル。 |
| ThreatIsActive | オプション | ブール (bool) | 脅威が現在アクティブかどうかを示します。 サポートされている値: True、 False |
| ThreatFirstReportedTime | オプション | 日付/時刻 | 脅威が最初に報告された日時。 例えば。 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | オプション | 日付/時刻 | 脅威が最後に報告された日時。 例えば。 2024-09-19T10:12:10.0000000Z |
スキーマの更新
以下はスキーマのバージョン0.1.1における変更点です:
- 検査フィールドが追加されました。
- ソースのジオロケーションフィールドを追加しました。
- ソースフィールドを追加しました:
SrcDescription、SrcOriginalRiskLevel、SrcOriginalUserType,SrcPortNumber、SrcRiskLevel、SrcUserScope、SrcUserScopeId、SrcUserSessionId``SrcUserUid -
Srcの別名を追加しました。User - フィールド
SrcUserUidとThreatFieldはASimDhcpEventLogsテーブルで利用可能ですが、スキーマには含まれていません。
次の手順
詳細については、次を参照してください。