Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O modelo de informações DHCP é usado para descrever eventos relatados por um servidor DHCP e é usado pelo Microsoft Sentinel para habilitar análises agnósticas de origem.
Para obter mais informações, consulte Normalização e o modelo avançado de informações de segurança (ASIM).
Descrição geral do esquema
O esquema DHCP ASIM representa a atividade do servidor DHCP, incluindo o atendimento de solicitações de endereço IP DHCP concedido de sistemas cliente e a atualização de um servidor DNS com as concessões concedidas.
Os campos mais importantes em um evento DHCP são SrcIpAddr e SrcHostname, que o servidor DHCP vincula concedendo a concessão, e são aliased pelos campos IpAddr e Hostname, respectivamente. O campo SrcMacAddr também é importante, pois representa a máquina cliente usada quando um endereço IP não é alugado.
Um servidor DHCP pode rejeitar um cliente, devido a preocupações de segurança ou devido à saturação da rede. Ele também pode colocar um cliente em quarentena, alugando-lhe um endereço IP que o conectaria a uma rede limitada. Os campos EventResult, EventResultDetails e DvcAction fornecem informações sobre a resposta e a ação do servidor DHCP.
A duração de uma concessão é armazenada no campo DhcpLeaseDuration .
Detalhes do esquema
O ASIM está alinhado com o projeto Open Source Security Events Metadata (OSSEM).
OSSEM não tem um esquema DHCP comparável ao esquema DHCP ASIM.
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhes no artigo Campos comuns do ASIM.
Campos comuns com orientações específicas
A lista a seguir menciona campos que têm diretrizes específicas para eventos DHCP:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| Tipo de Evento | Obrigatório | Enumerated | Indicar a operação comunicada pelo registo. Os valores possíveis são Assign, Renew, Release, e DNS Update. Exemplo: Assign |
| EventSchemaVersion | Obrigatório | SchemaVersion (String) | A versão do esquema aqui documentada é a 0.1.1. |
| EventSchema | Obrigatório | String | O nome do esquema documentado aqui é DhcpEvent. |
| Campos Dvc | - | - | Para eventos DHCP, os campos de dispositivo referem-se ao sistema que relata o evento DHCP. |
Todos os campos comuns
Os campos que aparecem na tabela são comuns a todos os esquemas ASIM. Qualquer diretriz especificada acima substitui as diretrizes gerais para o campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais informações sobre cada campo, consulte o artigo Campos comuns do ASIM .
| Classe | Campos |
|---|---|
| Obrigatório |
-
Contagem de Eventos - EventoInícioHora - EventEndTime - Tipo de Evento - EventResult - EventoProduto - EventVendor - EventSchema - EventSchemaVersion - DVC |
| Recomendado |
-
EventResultDetails - Severidade do Evento - EventUid - DvcIpAddr - DvcNome do host - DvcDomínio - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - SubTipo de Evento - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventoOriginalSeveridade - EventProductVersion - EventReportUrl - Proprietário do Evento - DvcZona - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescrição - DvcScopeId - DvcScope |
Campos específicos do DHCP
| Campo | Classe | Tipo | Notas |
|---|---|---|---|
| DhcpLeaseDuração | Opcional | Número inteiro | A duração do contrato de arrendamento concedido a um cliente, em segundos. |
| DhcpSessionId | Opcional | cadeia (de caracteres) | O identificador de sessão conforme relatado pelo dispositivo de relatório. Para o servidor DHCP do Windows, defina-o como o campo TransactionID. Exemplo: 2099570186 |
| SessionId | Alias | String | Alias para DhcpSessionId |
| DhcpSessãoDuração | Opcional | Número inteiro | A quantidade de tempo, em milissegundos, para a conclusão da sessão DHCP. Exemplo: 1500 |
| Duração | Alias | Alias para DhcpSessionDuration | |
| DhcpSrcDHCId | Opcional | String | O ID do cliente DHCP, conforme definido por RFC4701 |
| DhcpCircuitId | Opcional | String | O ID do circuito DHCP, conforme definido por RFC3046 |
| DhcpSubscriberId | Opcional | String | O ID do assinante DHCP, conforme definido por RFC3993 |
| DhcpVendorClassId | Opcional | String | A ID da Classe do Fornecedor DHCP, conforme definido por RFC3925. |
| DhcpVendorClass | Opcional | String | A Classe de Fornecedor DHCP, conforme definido por RFC3925. |
| DhcpUserClassId | Opcional | String | O ID de classe de usuário DHCP, conforme definido por RFC3004. |
| DhcpUserClass | Opcional | String | A Classe de Usuário DHCP, conforme definido por RFC3004. |
| RequestedIpAddr | Opcional | Endereço IP | O endereço IP solicitado pelo cliente DHCP, quando disponível. Exemplo: 192.168.12.3 |
Campos do sistema de origem
O sistema de origem é o sistema que solicita um arrendamento DHCP
| Campo | Classe | Tipo | Notas |
|---|---|---|---|
| Src | Alias | String | Um identificador exclusivo do dispositivo de origem. Este campo pode usar o alias dos campos SrcDvcId, SrcHostname ou SrcIpAddr . Exemplo: 192.168.12.1 |
| SrcIpAddr | Obrigatório | Endereço IP | O endereço IP atribuído ao cliente pelo servidor DHCP. Exemplo: 192.168.12.1 |
| IpAddr | Alias | Alias para SrcIpAddr | |
| SrcHostname | Obrigatório | Nome de Host (String) | O nome do host do dispositivo que solicita a concessão DHCP. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante neste campo. Exemplo: DESKTOP-1282V4D |
| Nome de Anfitrião | Alias | Alias para SrcHostname | |
| Domínio Src | Recomendado | Domínio (String) | O domínio do dispositivo de origem. Exemplo: Contoso |
| SrcDomainType | Condicional | Enumerated | O tipo de SrcDomain, se conhecido. Valores possíveis incluem: - Windows (tais como: contoso)- FQDN (tais como: microsoft.com)Necessário se SrcDomain for usado. |
| SrcFQDN | Opcional | FQDN (Corda) | O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis. Nota: Este campo suporta o formato FQDN tradicional e o formato domínio\nome de anfitrião do Windows. O campo SrcDomainType reflete o formato usado. Exemplo: Contoso\DESKTOP-1282V4D |
| SrcDvcId | Opcional | String | A ID do dispositivo de origem, conforme relatado no registro. Por exemplo: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Opcional | String | O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| SrcDvcScope | Opcional | String | O escopo da plataforma de nuvem ao qual o dispositivo pertence. O SrcDvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| SrcDvcIdType | Condicional | Enumerated | O tipo de SrcDvcId, se conhecido. Valores possíveis incluem: - AzureResourceId- MDEidSe várias IDs estiverem disponíveis, use a primeira da lista acima e armazene as outras em SrcDvcAzureResourceId e SrcDvcMDEid, respectivamente. Nota: Este campo é obrigatório se SrcDvcId for usado. |
| SrcDeviceType | Opcional | Enumerated | O tipo do dispositivo de origem. Valores possíveis incluem: - Computer- Mobile Device- IOT Device- Other |
| SrcDescrição | Opcional | String | Um texto descritivo associado ao dispositivo. Por exemplo: Primary Domain Controller. |
| SrcGeoCountry | Opcional | Country | O país/região associado ao endereço IP de origem. Exemplo: USA |
| SrcGeoRegion | Opcional | Região | A região associada ao endereço IP de origem. Exemplo: Vermont |
| SrcGeoCity | Opcional | City | A cidade associada ao endereço IP de origem. Exemplo: Burlington |
| SrcGeoLatitude | Opcional | Latitude | A latitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 44.475833 |
| SrcGeoLongitude | Opcional | Longitude | A longitude da coordenada geográfica associada ao endereço IP de origem. Exemplo: 73.211944 |
| SrcRiskLevel | Opcional | Número inteiro | O nível de risco associado à fonte. O valor deve ser ajustado para uma faixa de 0 , com 100 para benigno 0e 100 para um alto risco.Exemplo: 90 |
| SrcOriginalRiskLevel | Opcional | String | O nível de risco associado à fonte, conforme relatado pelo dispositivo de relatório. Exemplo: Suspicious |
| SrcPortNumber | Opcional | Número inteiro | A porta IP da qual a conexão se originou. Pode não ser relevante para uma sessão que inclui várias conexões. Exemplo: 2335 |
Campos de usuário de origem
| Campo | Classe | Tipo | Notas |
|---|---|---|---|
| SrcUserId | Opcional | String | Uma representação única, alfanumérica e legível por máquina do utilizador de origem. Para obter mais informações e campos alternativos para IDs adicionais, consulte A entidade Usuário. Exemplo: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | Condicional | UserIdType | O tipo de ID armazenado no campo SrcUserId . Para obter mais informações e uma lista de valores permitidos, consulte UserIdType no artigo Visão geral do esquema. |
| SrcUsername | Opcional | Nome de utilizador (String) | O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. Para obter mais informações, consulte A entidade Usuário. Exemplo: AlbertE |
| Utilizador | Alias | Alias para SrcUsername | |
| SrcNomeUtilizadorTipo | Condicional | UsernameType | Especifica o tipo do nome de usuário armazenado no campo SrcUsername . Para obter mais informações e uma lista de valores permitidos, consulte UsernameType no artigo Visão geral do esquema. Exemplo: Windows |
| SrcUserType | Opcional | Tipo de usuário | O tipo do usuário de origem. Para obter mais informações e uma lista de valores permitidos, consulte UserType no artigo Visão geral do esquema. Por exemplo: Guest |
| SrcOriginalUserType | Opcional | String | O tipo de usuário de origem original, se fornecido pela fonte. |
| SrcMacAddr | Obrigatório | Endereço Mac | O endereço MAC do cliente que solicita uma concessão DHCP. Nota: O servidor DHCP do Windows registra o endereço MAC de forma não padrão, omitindo os dois pontos, que devem ser inseridos pelo analisador. Exemplo: 06:10:9f:eb:8f:14 |
| SrcUserScope | Opcional | String | O escopo, como o locatário do Microsoft Entra, no qual SrcUserId e SrcUsername são definidos. ou mais informações e lista de valores permitidos, consulte UserScope no artigo Visão geral do esquema. |
| SrcUserScopeId | Opcional | String | A ID do escopo, como a ID do Diretório do Microsoft Entra, na qual SrcUserId e SrcUsername são definidos. para obter mais informações e uma lista de valores permitidos, consulte UserScopeId no artigo Visão geral do esquema. |
| SrcUserSessionId | Opcional | String | O ID exclusivo da sessão de entrada do Ator. Exemplo: 102pTUgC3p8RIqHvzxLCHnFlg |
Campos de inspeção
| Campo | Classe | Tipo | Notas |
|---|---|---|---|
| Regra | Alias | cadeia (de caracteres) | O valor de RuleName ou o valor de RuleNumber. Se o valor de RuleNumber for usado, o tipo deve ser convertido em string. |
| Número da regra | Opcional | int | O número da regra associada ao alerta. Por exemplo, 123456 |
| RuleName | Opcional | cadeia (de caracteres) | O nome ou ID da regra associada ao alerta. Por exemplo, Server PSEXEC Execution via Remote Access |
| ThreatId | Opcional | cadeia (de caracteres) | O ID da ameaça ou malware identificado no alerta. Por exemplo, 1234567891011121314 |
| ThreatCategory | Opcional | String | A categoria da ameaça ou malware identificado no alerta. Os valores suportados são: , , , , MalwareRansomware, , TrojanVirusWormAdwareSpywareRootkitCryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| Nome da Ameaça | Opcional | cadeia (de caracteres) | O nome da ameaça ou malware identificado no alerta. Por exemplo, Init.exe |
| ThreatConfidence | Opcional | Nível de Confiança (Inteiro) | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatOriginalConfidence | Opcional | cadeia (de caracteres) | O nível de confiança comunicado pelo sistema de origem. |
| ThreatRiskLevel | Opcional | RiskLevel (Inteiro) | O nível de risco associado à ameaça. O nível deve ser um número entre 0 e 100. Nota: O valor pode ser fornecido no registro de origem usando uma escala diferente, que deve ser normalizada para essa escala. O valor original deve ser armazenado em ThreatRiskLevelOriginal. |
| ThreatOriginalRiskLevel | Opcional | cadeia (de caracteres) | O nível de risco comunicado pelo sistema de origem. |
| ThreatIsActive | Opcional | bool | Indica se a ameaça está ativa no momento. Os valores suportados são: True, False |
| ThreatFirstReportedTime | Opcional | Data/Hora | Data e hora em que a ameaça foi comunicada pela primeira vez. Por exemplo, 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | Opcional | Data/Hora | Data e hora em que a ameaça foi comunicada pela última vez. Por exemplo, 2024-09-19T10:12:10.0000000Z |
Atualizações de esquema
Seguem-se as alterações na versão 0.1.1 do esquema:
- Adicionaram campos de inspeção.
- Adicionaram os campos de geolocalização de origem.
- Adicionados os campos fonte:
SrcDescription,SrcOriginalRiskLevel,SrcOriginalUserType,SrcPortNumber,SrcRiskLevel,SrcUserScope,SrcUserScopeId,SrcUserSessionId``SrcUserUid - Adicionaram os pseudónimos
SrceUser - Os campos
SrcUserUideThreatFieldestão disponíveis naASimDhcpEventLogstabela, mas não fazem parte do esquema.
Próximos passos
Para obter mais informações, consulte:
- Assista ao Webinar da ASIM ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Analisadores ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)