你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
DHCP 信息模型用于描述 DHCP 服务器报告的事件,Microsoft Sentinel 用它来启用与源无关的分析。
有关详细信息,请参阅规范化和高级安全信息模型 (ASIM)。
架构概述
ASIM DHCP 架构表示 DHCP 服务器活动,包括为 DHCP IP 地址(从客户端系统租用)请求提供服务,以及使用授予的租用更新 DNS 服务器。
DHCP 事件中最重要的字段是 SrcIpAddr 和 SrcHostname,DHCP 服务器通过授予租用来绑定它们,其别名分别为 IpAddr 和 Hostname 字段。 SrcMacAddr 字段也很重要,因为它表示 IP 地址未租用时使用的客户端计算机。
DHCP 服务器可能会因安全问题或网络饱和而拒绝客户端。 它也有可能通过租给客户端一个将其连接到有限网络的 IP 地址来隔离客户端。 EventResult、EventResultDetails 和 DvcAction 字段提供有关 DHCP 服务器响应和操作的信息。
租用持续时间存储在 DhcpLeaseDuration 字段中。
架构详细信息
ASIM 与开源安全事件元数据 (OSSEM) 项目保持一致。
OSSEM 没有与 ASIM DHCP 架构相当的 DHCP 架构。
通用 ASIM 字段
重要
ASIM 通用字段一文详细介绍了所有架构的通用字段。
符合特定准则的通用字段
以下列表提及了符合 DHCP 事件特定准则的字段:
| 字段 | 类 | 类型 | 说明 |
|---|---|---|---|
| EventType | 必需 | Enumerated | 指示记录报告的操作。 可能值为 Assign、Renew、Release 和 DNS Update。 示例: Assign |
| EventSchemaVersion | 必需 | 字符串 | 这里文档的模式版本是 0.1.1。 |
| EventSchema | 必需 | 字符串 | 此处记录的 DhcpEvent 架构的名称。 |
| Dvc 字段 | - | - | 对于 DHCP 事件,设备字段是指报告 DHCP 事件的系统。 |
所有通用字段
表中显示的字段是所有 ASIM 架构通用的。 上面指定的任何准则都将替代字段的一般准则。 例如,字段通常情况下可能是可选项,但可能是特定架构的必需项。 有关每个字段的详细信息,请参阅 ASIM 通用字段一文。
| 类 | Fields |
|---|---|
| 必需 |
- EventCount - EventStartTime - EventEndTime - EventType - EventResult - “EventProduct” - EventVendor 事件供应商 - EventSchema - EventSchemaVersion - Dvc |
| 建议 |
- EventResultDetails - EventSeverity 事件严重性 - EventUid 事件 - DvcIpAddr - DvcHostname - Dvc域 - DvcDomainType - DvcFQDN - DvcId - DvcIdType- - Dvc行动 |
| 可选 |
- EventMessage - 事件子类型 - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner 事件所有者 - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - 附加字段 - DvcDescription - DvcScopeId(DvcScopeId) - DvcScope(数字视觉示波器) |
特定于 DHCP 的字段
| 字段 | 类 | 类型 | 备注 |
|---|---|---|---|
| DHCP LeaseDuration | 可选 | 整数 | 授予客户端的租用时长,以秒为单位。 |
| DHCPSessionid | 可选 | 字符串 | 报告设备报告的会话标识符。 对于 Windows DHCP 服务器,请将此字段设置为 TransactionID 字段。 示例: 2099570186 |
| SessionId | Alias | 字符串 | DhcpSessionId 的别名 |
| DHCP SessionDuration | 可选 | 整数 | 完成 DHCP 会话所花费的时间,以毫秒为单位。 示例: 1500 |
| 持续时间 | Alias | DhcpSessionDuration 的别名 | |
| DhcpSrcDHCId | 可选 | 字符串 | RFC4701 定义的 DHCP 客户端 ID |
| DhcpCircuitId | 可选 | 字符串 | RFC3046 定义的 DHCP 线路 ID |
| DhcpSubscriberId | 可选 | 字符串 | RFC3993 定义的 DHCP 订阅者 ID |
| DhcpVendorClassId | 可选 | 字符串 | RFC3925 定义的 DHCP 供应商类 ID。 |
| DhcpVendorClass | 可选 | 字符串 | RFC3925 定义的 DHCP 供应商类。 |
| DhcpUserClassId | 可选 | 字符串 | 由 RFC3004定义的 DHCP 用户类 ID。 |
| DhcpUserClass | 可选 | 字符串 | RFC3004 定义的 DHCP 用户类。 |
| RequestedIpAddr | 可选 | IP 地址 | DHCP 客户端请求的 IP 地址(如果可用)。 示例: 192.168.12.3 |
源系统字段
源系统是请求DHCP租约的系统
| 字段 | 类 | 类型 | 备注 |
|---|---|---|---|
| 来源 | Alias | 字符串 | 目标设备的唯一标识符。 此字段又可称为 SrcDvcId、SrcHostname 或 SrcIpAddr 字段。 示例: 192.168.12.1 |
| SrcIpAddr | 必需 | IP 地址 | DHCP 服务器分配给客户端的 IP 地址。 示例: 192.168.12.1 |
| IpAddr | Alias | SrcIpAddr 的别名 | |
| SrcHostname 的 | 必需 | 字符串 | 请求 DHCP 租用的设备的主机名。 如果没有可用的设备名称,请在此字段中存储相关的 IP 地址。 示例: DESKTOP-1282V4D |
| 主机名 | Alias | SrcHostname 的别名 | |
| SrcDomain | 建议 | 字符串 | 源设备的域。 示例: Contoso |
| SrcDomainType | 条件逻辑 | Enumerated |
SrcDomain 的类型(如果已知)。 可能的值包括: - Windows(例如:contoso)- FQDN(例如:microsoft.com)如果使用了 SrcDomain,则该字段是必填的。 |
| SrcFQDN | 可选 | 字符串 | 源设备主机名,包括域信息(如果可用)。 注意:此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 SrcDomainType 字段反映使用的格式。 示例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 可选 | 字符串 | 记录中报告的源设备的 ID。 例如: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeID | 可选 | 字符串 | 设备所属的云平台范围 ID。 SrcDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| SrcDvcScope(扫描仪示波器) | 可选 | 字符串 | 设备所属的云平台范围。 SrcDvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| SrcDvcIdType | 条件逻辑 | Enumerated |
SrcDvcId 的类型(如果已知)。 可能的值包括: - AzureResourceId- MDEid如果有多个可用 ID,请使用上述列表中的第一个 ID,并分别在 SrcDvcAzureResourceId 和 SrcDvcMDEid 中存储其他 ID 。 注意:如果使用了 SrcDvcId,则此字段是必填的。 |
| SrcDeviceType | 可选 | Enumerated | 源设备的类型。 可能的值包括: - Computer- Mobile Device- IOT Device- Other |
| 词典描述 | 可选 | 字符串 | 与设备关联的描述性文本。 例如: Primary Domain Controller。 |
| SrcGeoCountry | 可选 | 国家 | 与源 IP 地址关联的国家/地区。 示例: USA |
| SrcGeoRegion | 可选 | 区域 | 与源 IP 地址关联的区域。 示例: Vermont |
| SrcGeoCity | 可选 | City | 与源 IP 地址关联的城市。 示例: Burlington |
| SrcGeoLatitude | 可选 | 纬度 | 与源 IP 地址关联的地理坐标的纬度。 示例: 44.475833 |
| SrcGeoLongitude | 可选 | 经度 | 与源 IP 地址关联的地理坐标的经度。 示例: 73.211944 |
| SrcRiskLevel | 可选 | 整数 | 与源关联的风险级别。 该值应调整为 0 到 100 的范围,其中 0 表示良性,100 表示高风险。示例: 90 |
| SrcOriginalRiskLevel | 可选 | 整数 | 与源关联的风险级别,由报告设备报告。 示例: Suspicious |
| SrcPortNumber | 可选 | 整数 | 连接起始的 IP 端口。 可能与包含多个连接的会话无关。 示例: 2335 |
源用户字段
| 字段 | 类 | 类型 | 备注 |
|---|---|---|---|
| SrcUserID | 可选 | 字符串 | 源用户的计算机可读的唯一字母数字表示形式。 有关详细信息,以及其他 ID 的替代字段,请参阅 User 实体。 示例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | 条件逻辑 | 用户 ID 类型 | SrcUserId 字段中存储的 ID 的类型。 有关详细信息和允许值的列表,请参阅架构概述文章中的 UserIdType。 |
| 用户名 | 可选 | 用户名 | 源用户名,包括域信息(如果可用)。 有关详细信息,请参阅用户实体。 示例: AlbertE |
| 用户 | Alias | SrcUsername 的别名 | |
| SrcUsernameType | 条件逻辑 | UsernameType | 指定 SrcUsername 字段中存储的用户名的类型。 有关详细信息和允许值的列表,请参阅架构概述文章中的 UsernameType。 示例: Windows |
| SrcUserType | 可选 | 用户类型 | 源用户的类型。 有关详细信息和允许值的列表,请参阅架构概述文章中的 UserType。 例如: Guest |
| SrcOriginalUserType | 原始源用户类型(如果源已提供)。 | ||
| SrcMacAddr | 必需 | MAC 地址 | 请求 DHCP 租用的客户端的 MAC 地址。 注意:Windows DHCP 服务器以非标准方式记录 MAC 地址,省略分析器应插入的冒号。 示例: 06:10:9f:eb:8f:14 |
| SrcUserScope | 可选 | 字符串 | 在其中定义了 SrcUserId 和 SrcUsername 的范围,例如 Microsoft Entra 租户。 有关详细信息和允许值的列表,请参阅架构概述文章中的 UserScope。 |
| SrcUserScopeId | 可选 | 字符串 | 在其中定义了 SrcUserId 和 SrcUsername 的范围 ID,例如 Microsoft Entra Directory ID。 有关详细信息和允许值的列表,请参阅架构概述文章中的 UserScopeId。 |
| SrcUserSessionId | 可选 | 字符串 | 参与者登录会话的唯一 ID。 示例: 102pTUgC3p8RIqHvzxLCHnFlg |
检查字段
| 字段 | 类 | 类型 | 备注 |
|---|---|---|---|
| 规则 | Alias | 字符串 | RuleName 的值,或 RuleNumber 的值。 如果使用 RuleNumber 的值,则类型应转换为字符串。 |
| RuleNumber | 可选 | int | 与警报关联的规则的编号。 例如, 123456 |
| RuleName | 可选 | 字符串 | 与警报关联的规则的名称或 ID。 例如, Server PSEXEC Execution via Remote Access |
| ThreatId | 可选 | 字符串 | 在警报中指明的威胁或恶意软件的 ID。 例如, 1234567891011121314 |
| ThreatName | 可选 | 字符串 | 在警报中指明的威胁或恶意软件的名称。 例如, Init.exe |
| ThreatFirstReportedTime | 可选 | 日期/时间 | 第一次报告该威胁的日期和时间。 例如, 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | 可选 | 日期/时间 | 上一次报告该威胁的日期和时间。 例如, 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | 建议 | 字符串 | 在警报中指明的威胁或恶意软件的类别。 支持的值为: Malware、Ransomware、Trojan、Virus、Worm、Adware、Spyware、Rootkit、Cryptominor、Phishing、Spam、MaliciousUrl、Spoofing、Security Policy Violation、Unknown |
| ThreatIsActive | 可选 | 布尔 | 指示威胁当前是否处于活动状态。 支持的值为: True、False |
| ThreatRiskLevel | 可选 | int | 与威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。 注意:可以在源记录中使用不同的标度提供值,而使用的标度应规范化为此标度。 原始值应存储在 ThreatRiskLevelOriginal 中。 |
| ThreatOriginalRiskLevel | 可选 | 字符串 | 发起系统报告的风险级别。 |
| ThreatConfidence | 可选 | int | 已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
| ThreatOriginalConfidence | 可选 | 字符串 | 发起系统报告的置信度。 |
架构更新
以下是模式0.1.1版本的变更:
- 增加了检查字段。
- 添加了源地理位置字段。
- 添加了源字段:
SrcDescription,SrcOriginalRiskLevel, ,SrcUserScopeSrcPortNumberSrcRiskLevelSrcUserScopeIdSrcOriginalUserTypeSrcUserSessionId``SrcUserUid - 添加了别名
Src和User - 字段
SrcUserUid和ThreatField在表格中ASimDhcpEventLogs可用,但不属于模式。
后续步骤
有关详细信息,请参阅: