Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Model informacyjny DHCP służy do opisywania zdarzeń zgłaszanych przez serwer DHCP i jest używany przez usługę Microsoft Sentinel do włączania analizy niezależnej od źródła.
Aby uzyskać więcej informacji, zobacz Normalizacja i Model zaawansowanych informacji o zabezpieczeniach (ASIM) .
Przegląd schematu
Schemat DHCP karty ASIM reprezentuje aktywność serwera DHCP, w tym obsługę żądań dla adresu IP DHCP dzierżawionego z systemów klienckich i aktualizowanie serwera DNS przy użyciu udzielonych dzierżaw.
Najważniejsze pola w zdarzeniu DHCP to SrcIpAddr i SrcHostname, które serwer DHCP wiąże, udzielając dzierżawy, i są aliasami odpowiednio pól IpAddr i Hostname . Pole SrcMacAddr jest również ważne, ponieważ reprezentuje maszynę klienta używaną, gdy adres IP nie jest dzierżawiony.
Serwer DHCP może odrzucić klienta ze względu na obawy dotyczące zabezpieczeń lub z powodu nasycenia sieci. Może również poddać kwarantannie klienta, dzierżawiąc mu adres IP, który łączy go z ograniczoną siecią. Pola EventResult, EventResultDetails i DvcAction zawierają informacje o odpowiedzi i akcji serwera DHCP.
Czas trwania dzierżawy jest przechowywany w polu DhcpLeaseDuration .
Szczegóły schematu
Usługa ASIM jest zgodna z projektem OSSEM (Open Source Security Events Metadata).
System OSSEM nie ma schematu DHCP porównywalnego ze schematem DHCP karty ASIM.
Typowe pola karty ASIM
Ważne
Pola wspólne dla wszystkich schematów zostały szczegółowo opisane w artykule ASIM Common Fields (Wspólne pola karty ASIM).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń DHCP:
| Pole | Klasa | Type | Opis |
|---|---|---|---|
| EventType | Obowiązkowy | Enumerated | Wskaż operację zgłoszoną przez rekord. Możliwe wartości to Assign, , RenewReleasei DNS Update. Przykład: Assign |
| EventSchemaVersion | Obowiązkowy | SchemaVersion (String) | Wersja schematu opisana tutaj to 0.1.1. |
| EventSchema | Obowiązkowy | String | Nazwa schematu udokumentowanego tutaj: DhcpEvent. |
| Pola dvc | - | - | W przypadku zdarzeń DHCP pola urządzeń odwołują się do systemu, który zgłasza zdarzenie DHCP. |
Wszystkie typowe pola
Pola wyświetlane w tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być ogólnie opcjonalne, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zobacz artykuł ASIM Common Fields (Wspólne pola karty ASIM ).
Pola specyficzne dla protokołu DHCP
| Pole | Klasa | Type | Uwagi |
|---|---|---|---|
| DhcpLeaseDuration | Opcjonalnie | Integer | Długość dzierżawy przyznanej klientowi w sekundach. |
| DhcpSessionId | Opcjonalnie | ciąg | Identyfikator sesji zgłoszony przez urządzenie raportowania. W przypadku serwera DHCP systemu Windows ustaw wartość w polu TransactionID. Przykład: 2099570186 |
| Identyfikator sesji | Alias | String | Alias na DhcpSessionId |
| DhcpSessionDuration | Opcjonalnie | Integer | Czas( w milisekundach) na zakończenie sesji DHCP. Przykład: 1500 |
| Czas trwania | Alias | Alias do dhcpSessionDuration | |
| DhcpSrcDHCId | Opcjonalnie | String | Identyfikator klienta DHCP zdefiniowany przez RFC4701 |
| DhcpCircuitId | Opcjonalnie | String | Identyfikator obwodu DHCP zdefiniowany przez RFC3046 |
| DhcpSubscriberId | Opcjonalnie | String | Identyfikator subskrybenta DHCP zdefiniowany przez RFC3993 |
| DhcpVendorClassId | Opcjonalnie | String | Identyfikator klasy dostawcy DHCP zdefiniowany przez RFC3925. |
| DhcpVendorClass | Opcjonalnie | String | Klasa dostawcy DHCP zdefiniowana przez RFC3925. |
| DhcpUserClassId | Opcjonalnie | String | Identyfikator klasy użytkownika DHCP zdefiniowany przez RFC3004. |
| DhcpUserClass | Opcjonalnie | String | Klasa użytkownika DHCP zdefiniowana przez RFC3004. |
| RequestedIpAddr | Opcjonalnie | Adres IP | Adres IP żądany przez klienta DHCP, jeśli jest dostępny. Przykład: 192.168.12.3 |
Pola systemu źródłowego
System źródłowy to system, który żąda dzierżawy DHCP
| Pole | Klasa | Type | Uwagi |
|---|---|---|---|
| Src | Alias | String | Unikatowy identyfikator urządzenia źródłowego. To pole może aliasuć pola SrcDvcId, SrcHostname lub SrcIpAddr . Przykład: 192.168.12.1 |
| SrcIpAddr powiedział: | Obowiązkowy | Adres IP | Adres IP przypisany do klienta przez serwer DHCP. Przykład: 192.168.12.1 |
| IpAddr | Alias | Alias dla elementu SrcIpAddr | |
| SrcHostname (nazwa hosta src) | Obowiązkowy | Nazwa hosta (String) | Nazwa hosta urządzenia żądającego dzierżawy DHCP. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. Przykład: DESKTOP-1282V4D |
| Nazwa hosta | Alias | Alias nazwy SrcHostname | |
| Domena Src | Zalecane | Dziedzina (ciąg znaków) | Domena urządzenia źródłowego. Przykład: Contoso |
| Typ_domeny Src | Warunkowe | Enumerated | Typ SrcDomain, jeśli jest znany. Możliwe wartości to: - Windows (na przykład: contoso)- FQDN (na przykład: microsoft.com)Wymagane, jeśli jest używany SrcDomain . |
| SrcFQDN | Opcjonalnie | FQDN (struna) | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. Uwaga: to pole obsługuje zarówno tradycyjny format FQDN, jak i format domena\nazwa_hosta systemu Windows. Pole SrcDomainType odzwierciedla używany format. Przykład: Contoso\DESKTOP-1282V4D |
| Identyfikator SrcDvcId | Opcjonalnie | String | Identyfikator urządzenia źródłowego zgłoszony w rekordzie. Na przykład: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3. |
| Identyfikator SrcDvcScopeId | Opcjonalnie | String | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcScope (SrcDvcScope) | Opcjonalnie | String | Zakres platformy w chmurze, do którego należy urządzenie. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcIdType | Warunkowe | Enumerated | Typ SrcDvcId, jeśli jest znany. Możliwe wartości to: - AzureResourceId- MDEidJeśli dostępnych jest wiele identyfikatorów, użyj pierwszej z powyższej listy i zapisz pozostałe w identyfikatorach SrcDvcAzureResourceId i SrcDvcMDEid. Uwaga: to pole jest wymagane, jeśli jest używany identyfikator SrcDvcId . |
| SrcDeviceType | Opcjonalnie | Enumerated | Typ urządzenia źródłowego. Możliwe wartości to: - Computer- Mobile Device- IOT Device- Other |
| Opis SrcDescription | Opcjonalnie | String | Tekst opisowy skojarzony z urządzeniem. Na przykład: Primary Domain Controller. |
| SrcGeoCountry | Opcjonalnie | Country | Kraj/region skojarzony ze źródłowym adresem IP. Przykład: USA |
| SrcGeoRegion | Opcjonalnie | Region | Region skojarzony ze źródłowym adresem IP. Przykład: Vermont |
| SrcGeoCity | Opcjonalnie | Miejscowość | Miasto skojarzone ze źródłowym adresem IP. Przykład: Burlington |
| SrcGeoLatitude | Opcjonalnie | Szerokość | Szerokość geograficzna współrzędnej geograficznej związanej z źródłowym adresem IP. Przykład: 44.475833 |
| SrcGeoLongitude | Opcjonalnie | Długość | Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. Przykład: 73.211944 |
| SrcRiskLevel | Opcjonalnie | Integer | Poziom ryzyka skojarzony ze źródłem. Wartość powinna być dostosowana do zakresu 0 wartości z 100wartością , z wartością 0 dla łagodnego i 100 wysokiego ryzyka.Przykład: 90 |
| SrcOriginalRiskLevel | Opcjonalnie | String | Poziom ryzyka skojarzony ze źródłem, zgodnie z raportem urządzenia raportowania. Przykład: Suspicious |
| SrcPortNumber | Opcjonalnie | Integer | Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji składającej się z wielu połączeń. Przykład: 2335 |
Pola użytkownika źródłowego
| Pole | Klasa | Type | Uwagi |
|---|---|---|---|
| Identyfikator użytkownika SrcUserId | Opcjonalnie | String | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. Aby uzyskać więcej informacji i w przypadku pól alternatywnych dla dodatkowych identyfikatorów, zobacz Jednostka Użytkownik. Przykład: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Warunkowe | UserIdType (Typ identyfikatora) użytkownika | Typ identyfikatora przechowywanego w polu SrcUserId . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserIdType w artykule Przegląd schematu. |
| Nazwa użytkownika Src | Opcjonalnie | Nazwa użytkownika (String) | Źródłowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. Aby uzyskać więcej informacji, zobacz Jednostka Użytkownik. Przykład: AlbertE |
| Użytkownik | Alias | Alias dla nazwy użytkownika SrcUsername | |
| SrcUsernameType (Typ nazwy użytkownika) | Warunkowe | Typ nazwy użytkownika | Określa typ nazwy użytkownika przechowywanej w polu SrcUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UsernameType w artykule Omówienie schematu. Przykład: Windows |
| SrcUserType | Opcjonalnie | Typ użytkownika | Typ użytkownika źródłowego. Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserType w artykule Omówienie schematu. Na przykład: Guest. |
| SrcOriginalUserType | Opcjonalnie | String | Oryginalny typ użytkownika źródłowego, jeśli jest dostarczany przez źródło. |
| SrcMacAddr | Obowiązkowy | Adres Mac | Adres MAC klienta żądającego dzierżawy DHCP. Uwaga: Serwer DHCP systemu Windows rejestruje adres MAC w sposób niestandardowy, pomijając dwukropki, które powinny być wstawione przez analizator. Przykład: 06:10:9f:eb:8f:14 |
| SrcUserScope | Opcjonalnie | String | Zakres, taki jak dzierżawa firmy Microsoft Entra, w którym zdefiniowano identyfikator SrcUserId i SrcUsername . lub więcej informacji i listy dozwolonych wartości, zobacz UserScope w artykule Omówienie schematu. |
| Identyfikator SrcUserScopeId | Opcjonalnie | String | Identyfikator zakresu, taki jak Microsoft Entra Directory ID, w którym zdefiniowano identyfikator SrcUserId i SrcUsername . Aby uzyskać więcej informacji i listę dozwolonych wartości, zobacz UserScopeId w artykule Omówienie schematu. |
| SrcUserSessionId | Opcjonalnie | String | Unikatowy identyfikator sesji logowania aktora. Przykład: 102pTUgC3p8RIqHvzxLCHnFlg |
Pola inspekcji
| Pole | Klasa | Type | Uwagi |
|---|---|---|---|
| Reguła | Alias | ciąg | Wartość RuleName lub wartość RuleNumber. Jeśli jest używana wartość RuleNumber, typ powinien zostać przekonwertowany na ciąg. |
| RuleNumber | Opcjonalnie | int | Liczba reguł skojarzonych z alertem. np. 123456 |
| RuleName | Opcjonalnie | ciąg | Nazwa lub identyfikator reguły skojarzonej z alertem. np. Server PSEXEC Execution via Remote Access |
| Identyfikator zagrożenia | Opcjonalnie | ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w alercie. np. 1234567891011121314 |
| Nazwa_zagrożenia | Opcjonalnie | ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w alercie. np. Init.exe |
| ZagrożenieFirstReportedTime | Opcjonalnie | Data/godzina | Data i godzina zgłoszenia zagrożenia. np. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime (Czas zagrożenia) | Opcjonalnie | Data/godzina | Data i godzina ostatniego zgłoszenia zagrożenia. np. 2024-09-19T10:12:10.0000000Z |
| Kategoria zagrożenia | Opcjonalnie | String | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w alercie. Obsługiwane wartości to: Malware, Ransomware, TrojanVirusWormAdwareSpywareRootkitCryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| ThreatIsActive (Zagrożenie) | Opcjonalnie | bool | Wskazuje, czy zagrożenie jest obecnie aktywne. Obsługiwane wartości to: True, False |
| Poziom zagrożenia | Opcjonalnie | RiskLevel (Liczba całkowita) | Poziom ryzyka skojarzony z zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu innej skali, która powinna być znormalizowana do tej skali. Oryginalna wartość powinna być przechowywana w usłudze ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcjonalnie | ciąg | Poziom ryzyka zgłoszony przez system źródłowy. |
| Pewność siebie | Opcjonalnie | Poziom Ufności (Liczba całkowita) | Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatOriginalConfidence (Pewność siebie) | Opcjonalnie | ciąg | Poziom ufności zgłoszony przez system źródłowy. |
Aktualizacje schematu
Poniżej przedstawiono zmiany w wersji 0.1.1 schematu:
- Dodano pola inspekcyjne.
- Dodano pola geolokalizacji źródłowej.
- Dodano pola źródłowe:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,SrcPortNumberSrcRiskLevel,SrcUserScope, ,SrcUserScopeIdSrcUserSessionId``SrcUserUid - Dodano aliasy
SrciUser - Pola
SrcUserUidiThreatFieldsą dostępne w tabeliASimDhcpEventLogs, ale nie są częścią schematu.
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)