DHCP 정보 모델은 DHCP 서버에서 보고된 이벤트를 설명하는 데 사용되며 Microsoft Sentinel에서 원본에 구애받지 않는 분석을 사용하도록 설정하는 데 사용됩니다.
자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
스키마 개요
ASIM DHCP 스키마는 클라이언트 시스템에서 임대한 DHCP IP 주소에 대한 요청을 처리하고 임대가 부여된 DNS 서버 업데이트를 포함하여 DHCP 서버 작업을 나타냅니다.
DHCP 이벤트에서 가장 중요한 필드는 SrcIpAddr 및 SrcHostname입니다. 이 필드는 DHCP 서버가 임대를 부여하여 바인딩하고 IpAddr 및 Hostname 필드에 의해 각각 별칭이 지정됩니다. SrcMacAddr 필드는 IP 주소가 임대되지 않을 때 사용되는 클라이언트 컴퓨터를 나타내기 때문에 중요합니다.
DHCP 서버는 보안 문제나 네트워크 포화로 인해 클라이언트를 거부할 수 있습니다. 제한된 네트워크에 연결할 IP 주소를 임대하여 클라이언트를 격리할 수도 있습니다. EventResult, EventResultDetails 및 DvcAction 필드는 DHCP 서버 응답 및 작업에 대한 정보를 제공합니다.
임대 기간은 DhcpLeaseDuration 필드에 저장됩니다.
스키마 세부 정보
ASIM은 OSSEM(오픈 소스 보안 이벤트 메타데이터 프로젝트와 일치합니다.
OSSEM에는 ASIM DHCP 스키마와 비슷한 DHCP 스키마가 없습니다.
일반적인 ASIM 필드
Important
모든 스키마에 공통적인 필드는 ASIM 공통 필드 문서에 자세히 설명되어 있습니다.
특정 지침이 있는 공통 필드
다음 목록에는 DHCP 이벤트에 대한 특정 지침이 있는 필드가 나와 있습니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| EventType | 필수 | Enumerated | 레코드에서 보고한 작업을 나타냅니다. 가능한 값은 Assign, Renew,Release 및 DNS Update입니다. 예: Assign |
| EventSchemaVersion | 필수 | SchemaVersion (문자열) | 여기 문서화된 스키마 버전은 0.1.1입니다. |
| EventSchema | 필수 | 문자열 | 여기에 설명된 스키마의 이름은 DhcpEvent입니다. |
| Dvc 필드 | - | - | DHCP 이벤트의 경우 디바이스 필드는 DHCP 이벤트를 보고하는 시스템을 나타냅니다. |
모든 공통 필드
테이블에 표시되는 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드가 일반적으로 선택 사항이지만 특정 스키마에서는 필수 사항일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
| 클래스 | 필드 |
|---|---|
| 필수 |
-
이벤트 카운트 - 이벤트스타트타임 - 이벤트종료 시간 - 이벤트 유형 - 이벤트결과 - 이벤트제품 - 이벤트 벤더 - 이벤트 스키마 - 이벤트스키마버전 - 증권 시세 표시기 |
| 권장 |
-
이벤트결과상세 정보 - EventSeverity (이벤트심각도) - 이벤트우이드 - DvcIpAddr - Dvc호스트 이름 - DVC도메인 - DvcDomainType - DVCFQDN - DvcID - DvcIdType - DvcAction |
| 선택 사항 |
-
이벤트 메시지 - 이벤트 하위 유형 - 이벤트오리지널Uid - 이벤트오리지널타입 - 이벤트오리지널 서브타입 - 이벤트원본결과세부 정보 - 사건원본심각성 - 이벤트제품버전 - 이벤트리포트URL - 이벤트 소유자 - 디브크존 - DVCMAC주소 - DvcOS - DvcOs버전 - Dvc 오리지널액션 - DVC인터페이스 - 추가 필드 - DVC 설명 - DvcScopeId(dvcScopeId) - Dvc스코프 |
DHCP 관련 필드
| 필드 | 클래스 | Type | 참고 |
|---|---|---|---|
| DHCP LeaseDuration | 선택 사항 | 정수 | 클라이언트에 부여된 임대 기간(초)입니다. |
| DhcpSessionId | 선택 사항 | string | 보고 디바이스에서 보고한 세션 식별자입니다. Windows DHCP 서버의 경우 이를 TransactionID 필드로 설정합니다. 예: 2099570186 |
| SessionId | Alias | 문자열 | DhcpSessionId에 대한 별칭 |
| DHCP 세션 지속 시간 | 선택 사항 | 정수 | DHCP 세션을 완료하는 데 걸리는 시간(밀리초)입니다. 예: 1500 |
| 기간 | Alias | DhcpSessionDuration에 대한 별칭 | |
| DhcpSrcDHCId | 선택 사항 | 문자열 | RFC4701에 정의된 DHCP 클라이언트 ID입니다. |
| DhcpCircuitId | 선택 사항 | 문자열 | RFC3046에 정의된 DHCP 회로 ID입니다. |
| DhcpSubscriberId | 선택 사항 | 문자열 | RFC3993에 정의된 DHCP 구독자 ID입니다. |
| DhcpVendorClassId | 선택 사항 | 문자열 | RFC3925에 정의된 DHCP 공급업체 클래스 ID입니다. |
| DhcpVendorClass | 선택 사항 | 문자열 | RFC3925에 정의된 DHCP 공급업체 클래스입니다. |
| DhcpUserClassId | 선택 사항 | 문자열 | RFC3004 정의된 DHCP 사용자 클래스 ID입니다. |
| DhcpUserClass | 선택 사항 | 문자열 | RFC3004에 정의된 DHCP 사용자 클래스입니다. |
| RequestedIpAddr | 선택 사항 | IP 주소 | 사용 가능한 경우 DHCP 클라이언트에서 요청한 IP 주소입니다. 예: 192.168.12.3 |
원본 시스템 필드
소스 시스템은 DHCP 임대를 요청하는 시스템입니다
| 필드 | 클래스 | Type | 참고 |
|---|---|---|---|
| SRC | Alias | 문자열 | 원본 디바이스의 고유 식별자입니다. 이 필드는 SrcDvcId, SrcHostname 또는 SrcIpAddr 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
| SrcIpAddr | 필수 | IP 주소 | DHCP 서버가 클라이언트에 할당한 IP 주소입니다. 예: 192.168.12.1 |
| IpAddr | Alias | SrcIpAddr의 별칭 | |
| Src호스트 이름 | 필수 | 호스트네임 (문자열) | DHCP 임대를 요청하는 디바이스의 호스트 이름입니다. 사용 가능한 디바이스 이름이 없으면 이 필드에 관련 IP 주소를 저장합니다. 예: DESKTOP-1282V4D |
| 호스트 이름 | Alias | SrcHostname의 별칭 | |
| SrcDomain | 권장 | 도메인 (문자열) | 원본 디바이스의 도메인입니다. 예: Contoso |
| SrcDomainType | 조건부 | Enumerated | 알려진 경우 SrcDomain의 형식입니다. 가능한 값에는 다음이 있습니다. - Windows (예: contoso)- FQDN (예: microsoft.com)SrcDomain을 사용하는 경우 필수입니다. |
| SrcFQDN | 선택 사항 | FQDN (문자열) | 사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다. 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다. 예: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 선택 사항 | 문자열 | 레코드에 보고된 원본 디바이스의 ID입니다. 예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. SrcDvcScopeId 는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvc스코프 | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위입니다. SrcDvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcIdType | 조건부 | Enumerated | 알려진 경우 SrcDvcId의 형식입니다. 가능한 값에는 다음이 있습니다. - AzureResourceId- MDEid여러 ID를 사용할 수 있는 경우 위 목록에서 첫 번째 ID를 사용하고 나머지는 각각 SrcDvcAzureResourceId 및 SrcDvcMDEid에 저장합니다. 참고: 이 필드는 SrcDvcId가 사용되는 경우 필수입니다. |
| SrcDeviceType | 선택 사항 | Enumerated | 원본 디바이스의 형식입니다. 가능한 값에는 다음이 있습니다. - Computer- Mobile Device- IOT Device- Other |
| 서클 설명 | 선택 사항 | 문자열 | 디바이스와 관련된 설명 텍스트입니다. 예: Primary Domain Controller. |
| SrcGeoCountry | 선택 사항 | 국가 | 원본 IP 주소와 연결된 국가/지역입니다. 예: USA |
| SrcGeoRegion | 선택 사항 | 지역 | 원본 IP 주소와 연결된 지역입니다. 예: Vermont |
| SrcGeoCity | 선택 사항 | 도시 | 원본 IP 주소와 연결된 도시입니다. 예: Burlington |
| SrcGeoLatitude | 선택 사항 | 위도 | 원본 IP 주소와 연결된 지리적 좌표의 위도입니다. 예: 44.475833 |
| SrcGeoLongitude | 선택 사항 | 경도 | 원본 IP 주소와 연결된 지리적 좌표의 경도입니다. 예: 73.211944 |
| SrcRiskLevel | 선택 사항 | 정수 | 원본과 관련된 위험 수준입니다. 값은 0 ~ 100 범위로 조정해야 하며, 0은 무해함이고 100은 고위험입니다.예: 90 |
| SrcOriginalRiskLevel | 선택 사항 | 문자열 | 보고 디바이스에서 보고한 원본과 연결된 위험 수준입니다. 예: Suspicious |
| SrcPortNumber | 선택 사항 | 정수 | 연결이 시작된 IP 포트입니다. 여러 연결을 구성하는 세션과 관련이 없을 수 있습니다. 예: 2335 |
원본 사용자 필드
| 필드 | 클래스 | Type | 참고 |
|---|---|---|---|
| SrcUserID | 선택 사항 | 문자열 | 원본 사용자에 대한 컴퓨터 판독 가능한 영숫자 고유 표현입니다. 자세한 내용 및 추가 ID에 대한 대체 필드는 사용자 항목을 참조하세요. 예: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | 조건부 | 사용자 ID 유형 | SrcUserId 필드에 저장된 ID 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서에서 UserIdType을 참조하세요. |
| Src사용자 이름 | 선택 사항 | 사용자 이름 (문자열) | 사용 가능한 경우 도메인 정보를 포함한 원본 사용자 이름입니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: AlbertE |
| 사용자 | Alias | SrcUsername의 별칭 | |
| SrcUsernameType | 조건부 | 사용자 이름 유형 | SrcUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서에서 UsernameType을 참조하세요. 예: Windows |
| SrcUserType | 선택 사항 | 사용자 유형 | 원본 사용자의 유형입니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서에서 UserType을 참조하세요. 예: Guest |
| SrcOriginalUserType | 선택 사항 | 문자열 | 원본에서 제공한 경우 원래 원본 사용자 유형입니다. |
| SrcMacAddr | 필수 | Mac 주소 | DHCP 임대를 요청하는 클라이언트의 MAC 주소입니다. 참고: Windows DHCP 서버는 MAC 주소를 비표준 방식으로 기록하여 파서에서 삽입해야 하는 콜론을 생략합니다. 예: 06:10:9f:eb:8f:14 |
| SrcUserScope | 선택 사항 | 문자열 | SrcUserId 및 SrcUsername이 정의된 Microsoft Entra 테넌트와 같은 범위입니다. 또는 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScope를 참조하세요. |
| SrcUserScopeId | 선택 사항 | 문자열 | SrcUserId 및 SrcUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 범위 ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의 UserScopeId를 참조하세요. |
| SrcUserSessionId | 선택 사항 | 문자열 | 행위자 로그인 세션의 고유 ID입니다. 예: 102pTUgC3p8RIqHvzxLCHnFlg |
검사 필드
| 필드 | 클래스 | Type | 참고 |
|---|---|---|---|
| 규칙 | Alias | string | RuleName 값 또는 RuleNumber 값입니다. RuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다. |
| RuleNumber | 선택 사항 | 정수 (int) | 경고와 연결된 규칙의 수입니다. 예: 123456 |
| RuleName | 선택 사항 | string | 경고와 연결된 규칙의 이름 또는 ID입니다. 예: Server PSEXEC Execution via Remote Access |
| 위협 ID | 선택 사항 | string | 경고에서 식별된 위협 또는 맬웨어의 ID입니다. 예: 1234567891011121314 |
| 위협 범주 | 선택 사항 | 문자열 | 경고에서 식별된 위협 또는 맬웨어의 범주입니다. 지원되는 값은 다음과 같습니다. , ,, Malware, RansomwareTrojan, , VirusWormAdwareSpywareRootkitCryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| 위협 이름 | 선택 사항 | string | 경고에서 식별된 위협 또는 맬웨어의 이름입니다. 예: Init.exe |
| 위협신뢰도 | 선택 사항 | 신뢰도(정수) | 식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다. |
| 위협원신뢰도 | 선택 사항 | string | 원래 시스템에서 보고한 신뢰 수준입니다. |
| 위협위험수준 | 선택 사항 | 위험 수준 (정수) | 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. 참고: 이 척도로 정규화되어야 하는 다른 척도를 사용하여 값을 원본 레코드에 제공할 수 있습니다. 원래 값은 ThreatRiskLevelOriginal에 저장해야 합니다. |
| ThreatOriginalRiskLevel | 선택 사항 | string | 원래 시스템에서 보고한 위험 수준입니다. |
| 위협적이다 | 선택 사항 | bool | 위협이 현재 활성 상태인지 여부를 나타냅니다. 지원되는 값은 다음과 True같습니다. False |
| ThreatFirstReportedTime | 선택 사항 | 날짜/시간 | 위협이 처음 보고된 날짜 및 시간입니다. 예: 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | 선택 사항 | 날짜/시간 | 위협이 마지막으로 보고된 날짜 및 시간입니다. 예: 2024-09-19T10:12:10.0000000Z |
스키마 업데이트
다음은 스키마 0.1.1 버전에서의 변경 사항입니다:
- 검사 필드가 추가되었습니다.
- 소스 지리 위치 필드를 추가했습니다.
- 소스 필드를 추가했습니다:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,SrcPortNumberSrcRiskLevelSrcUserScopeSrcUserScopeId, ,SrcUserSessionId``SrcUserUid - 가명
Src을 추가했고User - 필드
SrcUserUid와ThreatField는 테이블에서ASimDhcpEventLogs볼 수 있지만 스키마의 일부는 아닙니다.
다음 단계
자세한 내용은 다음을 참조하세요.