Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O modelo de informações DHCP é usado para descrever eventos relatados por um servidor DHCP, e é usado pelo Microsoft Sentinel para habilitar a análise independente da origem.
Para obter mais informações, confira Normalização e o ASIM (Modelo de Informações de Segurança Avançado).
Visão geral do esquema
O esquema DHCP do ASIM representa a atividade do servidor DHCP, incluindo as solicitações de serviço para o endereço IP do DHCP concedido de sistemas cliente e a atualização de um servidor DNS com as concessões concedidas.
Os campos mais importantes em um evento DHCP são SrcIpAddr e SrcHostname, que o servidor DHCP vincula dando a concessão, e recebem alias pelos campos IpAddr e Hostname, respectivamente. O campo SrcMacAddr também é importante, pois representa o computador cliente usado quando um endereço IP não é alugado.
Um servidor DHCP pode rejeitar um cliente devido a questões de segurança ou devido à saturação da rede. Ele também pode colocar um cliente em quarentena concedendo-lhe um endereço IP que o conectaria a uma rede limitada. Os campos EventResult, EventResultDetails e DvcAction fornecem informações sobre a resposta e a ação do servidor DHCP.
A duração de uma concessão é armazenada no campo DhcpLeaseDuration.
Detalhes do esquema
O ASIM está alinhado com o projeto OSSEM (Metadados de Eventos de Segurança de Código Aberto).
O OSSEM não tem um esquema DHCP comparável ao esquema DHCP do ASIM.
Campos comuns do ASIM
Importante
Os campos comuns a todos os esquemas estão descritos em detalhes no artigo Campos comuns do ASIM.
Campos comuns com diretrizes específicas
A lista a seguir menciona os campos que têm diretrizes específicas para eventos de DHCP:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerated | Indica a operação relatada pelo registro. Os valores possíveis são Assign, Renew, Release e DNS Update. Exemplo: Assign |
| EventSchemaVersion | Obrigatório | SchemaVersion (Cadeia de caracteres) | A versão do esquema documentada aqui é a 0.1.1. |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é DhcpEvent. |
| Campos Dvc | - | - | Nos eventos DHCP, os campos de dispositivo referem-se ao sistema que relata o evento DHCP. |
Todos campos comuns
Os campos que aparecem na tabela são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, consulte o artigo Campos Comuns do ASIM .
| Classe | Fields |
|---|---|
| Obrigatório |
-
Contagem de eventos - EventoInícioHora - EventoFimTempo - Tipo de evento - Resultado do evento - Produto do evento - Fornecedor de eventos - Esquema de Eventos - EventSchemaVersion - Dvc |
| Recomendadas |
-
Detalhes do Resultado do Evento - Gravidade do evento - EventUid - DvcIpAddr - DvcNome do Host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
Mensagem de Evento - Subtipo de Evento - EventoOriginalUid - EventOriginalType - Subtipo OriginalEvento - Detalhes do Resultado Originaldo Evento - EventoOriginalSeveridade - EventProductVersion - EventReportUrl - Dono do evento - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - Interface Dvc - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope |
Campos específicos de DHCP
| Campo | Classe | Tipo | Observações |
|---|---|---|---|
| DhcpLeaseDuração | Opcional | Inteiro | O comprimento da concessão concedida a um cliente, em segundos. |
| DhcpSessionId | Opcional | cadeia | O identificador de sessão, conforme relatado pelo dispositivo de relatório. Para o servidor DHCP do Windows, defina isso para o campo TransactionID. Exemplo: 2099570186 |
| SessionId | Alias | String | Alias para DhcpSessionId |
| DhcpSessãoDuração | Opcional | Inteiro | O tempo, em milissegundos, até a conclusão da sessão de DHCP. Exemplo: 1500 |
| Duration | Alias | Alias para DhcpSessionDuration | |
| DhcpSrcDHCId | Opcional | String | A ID do cliente DHCP, conforme definido por RFC4701 |
| DhcpCircuitId | Opcional | String | A ID do circuito DHCP, conforme definido por RFC3046 |
| DhcpSubscriberId | Opcional | String | A ID do assinante DHCP, conforme definido por RFC3993 |
| DhcpVendorClassId | Opcional | String | A ID da Classe de Fornecedor de DHCP, conforme definido por RFC3925. |
| DhcpVendorClass | Opcional | String | A Classe de Fornecedor de DHCP, conforme definido por RFC3925. |
| DhcpUserClassId | Opcional | String | A ID da classe de usuário DHCP, conforme definido por RFC3004. |
| DhcpUserClass | Opcional | String | A Classe de Usuário de DHCP, conforme definido por RFC3004. |
| RequestedIpAddr | Opcional | Endereço IP | O endereço IP solicitado pelo cliente DHCP, quando disponível. Exemplo: 192.168.12.3 |
Campos do sistema de origem
O sistema de origem é o sistema que solicita um arrendamento DHCP
| Campo | Classe | Tipo | Observações |
|---|---|---|---|
| Src | Alias | String | Um identificador exclusivo do dispositivo de origem. Esse campo pode gerar alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr. Exemplo: 192.168.12.1 |
| SrcIpAddr | Obrigatório | Endereço IP | O endereço IP atribuído ao cliente pelo servidor DHCP. Exemplo: 192.168.12.1 |
| Ipaddr | Alias | Alias para SrcIpAddr | |
| SrcNome do host | Obrigatório | Nome do host (String) | O nome do host do dispositivo que está solicitando a concessão de DHCP. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo. Exemplo: DESKTOP-1282V4D |
| Nome do host | Alias | Alias para SrcHostname | |
| SrcDomain | Recomendadas | Domínio (String) | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | Enumerated | O tipo de SrcDomain, se conhecido. Os valores possíveis incluem: - Windows (como contoso)- FQDN (como microsoft.com)Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | FQDN (Corda) | O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. Observação: esse campo dá suporte ao formato FQDN tradicional e ao formato domínio\nome do host do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcional | String | A ID do dispositivo de origem, conforme relatado no registro. Por exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | String | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| SrcDvcIdType | Condicional | Enumerated | O tipo de SrcDvcId, se conhecido. Os valores possíveis incluem: - AzureResourceId- MDEidSe várias IDs estão disponíveis, use a primeira da lista acima e armazene as outras em SrcDvcAzureResourceId e SrcDvcMDEid, respectivamente. Observação: esse campo será obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | Enumerated | O tipo do dispositivo de origem. Os valores possíveis incluem: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| SrcGeoCountry | Opcional | País | O país/região associado ao endereço IP de origem. Exemplo: USA |
| SrcGeoRegion | Opcional | Região | A região associada ao endereço IP de origem. Exemplo: Vermont |
| SrcGeoCity | Opcional | City | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
| SrcRiskLevel | Opcional | Inteiro | O nível de risco associado à origem. O valor deve ser ajustado para um intervalo de 0 para 100, com 0 para benigno e 100 para um risco alto.Exemplo: 90 |
| SrcOriginalRiskLevel | Opcional | String | O nível de risco associado à ameaça identificada com a origem, conforme relatado pelo dispositivo de relatório. Exemplo: Suspicious |
| SrcPortNumber | Opcional | Inteiro | A porta IP em que a conexão foi originada. Pode não ser relevante para uma sessão que abrange várias conexões. Exemplo: 2335 |
Campos do usuário de origem
| Campo | Classe | Tipo | Observações |
|---|---|---|---|
| SrcUserId | Opcional | String | Uma representação exclusiva, alfanumérica e legível pelo computador do usuário de origem. Para obter mais informações e campos alternativos para IDs adicionais, consulte Entidade do usuário. Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Condicional | UserIdType | O tipo da ID armazenada no campo SrcUserId. Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema. |
| SrcUsername | Opcional | Nome de usuário (String) | O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. Para saber mais, confira A entidade de usuário. Exemplo: AlbertE |
| Usuário | Alias | Alias para SrcUsername | |
| SrcUsernameType | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo SrcUsername. Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| SrcUserType | Opcional | Tipo de Usuário | O tipo do usuário de origem. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. Por exemplo: Guest |
| SrcOriginalUserType | Opcional | String | O tipo de usuário de origem, se fornecido pela origem. |
| SrcMacAddr | Obrigatório | Endereço MAC | O endereço MAC do cliente que está solicitando uma concessão de DHCP. Observação: o servidor DHCP do Windows registra o endereço MAC de forma diferente do padrão, omitindo os dois-pontos, que devem ser inseridos pelo analisador. Exemplo: 06:10:9f:eb:8f:14 |
| SrcUserScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual SrcUserId e SrcUsername são definidos. Para obter mais informações e uma lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| SrcUserScopeId | Opcional | String | A ID do escopo, como o Microsoft Entra Directory ID, na qual são definidos SrcUserId e SrcUsername. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| SrcUserSessionId | Opcional | String | A ID exclusiva da sessão de entrada do Ator. Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos de inspeção
| Campo | Classe | Tipo | Observações |
|---|---|---|---|
| Regra | Alias | cadeia | O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deverá ser convertido em cadeia de caracteres. |
| RuleNumber | Opcional | int | O número da regra associada ao alerta. Por exemplo, 123456 |
| RuleName | Opcional | cadeia | O nome ou a ID da regra associada ao alerta. Por exemplo, Server PSEXEC Execution via Remote Access |
| ThreatId | Opcional | cadeia | O ID da ameaça ou malware identificado no alerta. Por exemplo, 1234567891011121314 |
| ThreatCategory | Opcional | String | A categoria da ameaça ou malware identificado no alerta. Os valores suportados são: , , , MalwareRansomwareTrojanVirusWormAdwareSpywareRootkitCryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| ThreatName | Opcional | cadeia | O nome da ameaça ou malware identificado no alerta. Por exemplo, Init.exe |
| ThreatConfidence | Opcional | Nível de Confiança (Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | cadeia | O nível de confiança conforme relatado pelo sistema de origem. |
| ThreatRiskLevel | Opcional | RiskLevel (Inteiro) | O nível de risco associado à ameaça. O nível deve ser um número entre 0 e 100. Observação: o valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizado para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | cadeia | O nível de risco conforme relatado pelo sistema de origem. |
| ThreatIsActive | Opcional | bool | Indica se a ameaça está ativa no momento. Os valores suportados são: True, False |
| ThreatFirstReportedTime | Opcional | Data/Hora | Data e hora em que a ameaça foi relatada pela primeira vez. Por exemplo, 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcional | Data/Hora | Data e hora em que a ameaça foi relatada pela última vez. Por exemplo, 2024-09-19T10:12:10.0000000Z |
Atualizações de esquema
A seguir estão as mudanças na versão 0.1.1 do esquema:
- Adicionaram campos de inspeção.
- Adicionaram os campos de geolocalização de origem.
- Adicionados os campos fonte:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,SrcPortNumber,SrcRiskLevel,SrcUserScope,SrcUserScopeId,SrcUserSessionId``SrcUserUid - Adicionaram os pseudônimos
SrceUser - Os campos
SrcUserUideThreatFieldestão disponíveis naASimDhcpEventLogstabela, mas não fazem parte do esquema.
Próximas etapas
Para obter mais informações, consulte:
- Assista ao Webinar do ASIM ou examine os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)