DHCP 資訊模型可用來描述 DHCP 伺服器所報告的事件,並且由 Microsoft Sentinel 使用,以啟用與來源無關的分析。
如需詳細資訊,請參閱正規化和進階安全性資訊模型(ASIM)。
結構描述概觀
ASIM DHCP 架構代表 DHCP 伺服器活動,包括提供從客戶端系統租用的 DHCP IP 位址要求,以及更新已授與租用的 DNS 伺服器。
DHCP 事件中最重要的欄位是 SrcIpAddr 和 SrcHostname,DHCP 伺服器會藉由授與租用來系結,並由 IpAddr 和 Hostname 字段分別作為別名。 SrcMacAddr 欄位也很重要,因為它代表未租用 IP 位址時使用的用戶端電腦。
DHCP 伺服器可能會因為安全性考慮或網路飽和而拒絕用戶端。 它也可以藉由租用用戶端,將它連線到有限網路的IP位址來隔離用戶端。 EventResult、EventResultDetails 和 DvcAction 欄位提供 DHCP 伺服器回應和動作的相關信息。
租用的持續時間會儲存在 DhcpLeaseDuration 字段中。
架構詳細數據
ASIM 與 開放原始碼安全性事件元數據 (OSSEM) 專案一致。
OSSEM 沒有與 ASIM DHCP 結構描述相當的 DHCP 結構描述。
一般 ASIM 欄位
重要
ASIM 通用欄位一文會詳細說明 所有架構的通用欄位 。
具有特定指導方針的一般欄位
下列清單提及具有 DHCP 事件特定指導方針的欄位:
| 欄位 | 類別 | 類型 | 說明 |
|---|---|---|---|
| EventType | 必要 | Enumerated | 指出記錄所報告的作業。 可能的值為 Assign、Renew、Release 和 DNS Update。 範例: Assign |
| EventSchemaVersion | 必要 | SchemaVersion(字串) | 這裡所記錄的架構版本是 0.1.1。 |
| EventSchema | 必要 | String | 此處記載的結構描述名稱是 DhcpEvent。 |
| Dvc 欄位 | - | - | 針對 DHCP 事件,裝置欄位會參考報告 DHCP 事件的系統。 |
所有通用欄位
表格中顯示的欄位對於所有 ASIM 結構描述都是通用的。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的詳細資訊,請參閱 ASIM 通用欄位 一文。
| 類別 | 欄位 |
|---|---|
| 必要 |
-
事件計數 - 事件開始時間 - 事件結束時間 - 事件類型 - 事件結果 - 活動產品 - 活動供應商 - 事件架構 - 事件架構版本 - 視頻 |
| 建議需求 |
-
事件結果詳細資料 - 事件嚴重性 - 事件Uid - DvcIpAddr - Dvc主機名稱 - Dvc網域 - Dvc網域類型 - DvcFQDN - DVCID - DvcId類型 - Dvc動作 |
| 選擇性 |
-
事件訊息 - 事件子類型 - 事件原創 - 事件原始類型 - EventOriginal子類型 - EventOriginalResult詳細資料 - EventOriginal嚴重性 - 事件產品版本 - 事件報告網址 - 事件擁有者 - Dvc區域 - DvcMacAddr - DvcOS - DvcOs版本 - DvcOriginal動作 - Dvc介面 - 附加欄位 - Dvc說明 - DvcScopeID - Dvc範圍 |
DHCP 特定欄位
| 欄位 | 類別 | 類型 | 注意事項 |
|---|---|---|---|
| DHCP LeaseDuration | 選擇性 | 整數 | 授與給用戶端的租用長度,以秒為單位。 |
| DHCP SessionID | 選擇性 | 字串 | 報告裝置所報告的會話標識碼。 針對 Windows DHCP 伺服器,請將此設定為 [TransactionID] 字段。 範例: 2099570186 |
| SessionId | Alias | String | DhcpSessionId 的別名 |
| Dhcp會話持續時間 | 選擇性 | 整數 | DHCP 工作階段完成的時間量,以毫秒為單位。 範例: 1500 |
| 期間 | Alias | DhcpSessionDuration 的別名 | |
| DhcpSrcDHCId | 選擇性 | String | DHCP 用戶端識別碼,如RFC4701所 定義 |
| DhcpCircuitId | 選擇性 | String | DHCP 線路標識碼,如RFC3046所 定義 |
| DhcpSubscriberId | 選擇性 | String | DHCP 訂閱者標識碼,如RFC3993所 定義 |
| DhcpVendorClassId | 選擇性 | String | DHCP 廠商類別識別碼,如RFC3925所定義。 |
| DhcpVendorClass | 選擇性 | String | DHCP 廠商類別,如RFC3925所定義。 |
| DhcpUserClassId | 選擇性 | String | DHCP 使用者類別 ID,由 RFC3004 定義。 |
| DhcpUserClass | 選擇性 | String | DHCP 使用者類別,如RFC3004所定義。 |
| 請求 IpAddr | 選擇性 | IP 位址 | 當可用時,DHCP 用戶端所要求的IP位址。 範例: 192.168.12.3 |
來源系統欄位
來源系統是請求 DHCP 租約的系統
| 欄位 | 類別 | 類型 | 注意事項 |
|---|---|---|---|
| 來源 | Alias | String | 來源裝置的唯一標識碼。 此欄位可能會將 SrcDvcId、 SrcHostname 或 SrcIpAddr 字段別名。 範例: 192.168.12.1 |
| SrcIpAddr | 必要 | IP 位址 | DHCP 伺服器指派給用戶端的IP位址。 範例: 192.168.12.1 |
| IpAddr | Alias | SrcIpAddr 的 別名 | |
| Src主機名稱 | 必要 | 主機名稱(字串) | 要求 DHCP 租用之裝置的主機名。 如果沒有可用的裝置名稱,請將相關的IP位址儲存在此欄位中。 範例: DESKTOP-1282V4D |
| 主機名稱 | Alias | SrcHostname 的 別名 | |
| Src網域 | 建議需求 | 域(字串) | 來源裝置的網域。 範例: Contoso |
| Src網域類型 | 條件 | Enumerated | 如果已知,則為 SrcDomain 的類型。 可能的值包括: - Windows (例如: contoso)- FQDN (例如: microsoft.com)如果使用 SrcDomain ,則為必要項。 |
| SrcFQDN | 選擇性 | FQDN(字串) | 來源裝置主機名,包括可用時的網域資訊。 注意:此欄位同時支持傳統的 FQDN 格式和 Windows 網域\主機名格式。 SrcDomainType 字段會反映所使用的格式。 範例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 選擇性 | String | 記錄中所報告的來源裝置標識碼。 例如: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 選擇性 | String | 裝置所屬的雲端平台範圍識別碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| SrcDvc範圍 | 選擇性 | String | 裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| SrcDvcIdType | 條件 | Enumerated | 如果已知,則為 SrcDvcId 的類型。 可能的值包括: - AzureResourceId- MDEid如果有多個標識碼可用,請使用上述清單中的第一個標識符,並將其他標識符分別儲存在 SrcDvcAzureResourceId 和 SrcDvcMDEid 中。 注意:如果使用 SrcDvcId ,則需要此欄位。 |
| SrcDeviceType | 選擇性 | Enumerated | 來源裝置的類型。 可能的值包括: - Computer- Mobile Device- IOT Device- Other |
| Src說明 | 選擇性 | String | 與裝置相關聯的描述性文字。 例如: Primary Domain Controller 。 |
| SrcGeoCountry | 選擇性 | 國家 | 與來源IP位址相關聯的國家/地區。 範例: USA |
| SrcGeoRegion | 選擇性 | 區域 | 與來源IP位址相關聯的區域。 範例: Vermont |
| SrcGeoCity | 選擇性 | 城市 | 與來源IP位址相關聯的城市。 範例: Burlington |
| SrcGeoLatitude | 選擇性 | 緯度 | 與來源IP位址相關聯的地理座標緯度。 範例: 44.475833 |
| SrcGeoLongitude | 選擇性 | 經度 | 與來源IP位址相關聯的地理座標經度。 範例: 73.211944 |
| SrcRiskLevel | 選擇性 | 整數 | 與來源相關聯的風險層級。 此值應調整為 的範圍,0100並0針對良性和100高風險。範例: 90 |
| SrcOriginalRiskLevel | 選擇性 | String | 與來源相關聯的風險層級,如報告裝置所報告。 範例: Suspicious |
| SrcPortNumber | 選擇性 | 整數 | 連接起始的 IP 端口。 可能在包含多個連線的會話中不相關。 範例: 2335 |
來源使用者欄位
| 欄位 | 類別 | 類型 | 注意事項 |
|---|---|---|---|
| SrcUserID | 選擇性 | String | 計算機可讀取、英數位元、來源使用者的唯一表示法。 如需詳細資訊,以及其他標識碼的替代字段,請參閱 用戶實體。 範例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | 條件 | UserIdType | 儲存在 SrcUserId 欄位中的識別碼類型。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserIdType。 |
| Src使用者名稱 | 選擇性 | 用戶名(字串) | 來源使用者名稱,包括網域資訊 (如果可用)。 如需詳細資訊,請參閱使用者實體。 範例: AlbertE |
| 使用者 | Alias | SrcUsername 的 別名 | |
| SrcUsernameType | 條件 | UsernameType | 指定儲存在 SrcUsername 欄位中的使用者名稱類型。 如需詳細資訊,以及允許的值清單,請參閱架構概觀一文中的UsernameType。 範例: Windows |
| SrcUserType | 選擇性 | 用戶類型 | 來源使用者的型別。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的UserType。 例如: Guest |
| SrcOriginalUserType | 選擇性 | String | 來源所提供的原始來源用戶類型。 |
| SrcMacAddr | 必要 | MAC位址 | 要求 DHCP 租用之用戶端的 MAC 位址。 注意:Windows DHCP伺服器以非標準方式記錄MAC地址,省略冒號,冒號應由解析器插入。 範例: 06:10:9f:eb:8f:14 |
| SrcUserScope | 選擇性 | String | 定義 SrcUserId 和 SrcUsername 的 Microsoft Entra 租使用者等範圍。 或詳細資訊和允許的值清單,請參閱架構概觀一文中的UserScope。 |
| SrcUserScopeId | 選擇性 | String | 定義 SrcUserId 和 SrcUsername 的範圍標識碼,例如 Microsoft Entra 目錄標識符。 如需允許值的詳細資訊和清單,請參閱架構概觀一文中的UserScopeId。 |
| SrcUserSessionId | 選擇性 | String | 動作專案之登入會話的唯一標識符。 範例: 102pTUgC3p8RIqHvzxLCHnFlg |
檢查欄位
| 欄位 | 類別 | 類型 | 注意事項 |
|---|---|---|---|
| 規則 | Alias | 字串 | RuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,則類型應該轉換成字串。 |
| RuleNumber | 選擇性 | 整數 (int) | 與警示相關聯的規則數目。 例如: 123456 |
| RuleName | 選擇性 | 字串 | 與警示相關聯的規則名稱或標識碼。 例如: Server PSEXEC Execution via Remote Access |
| ThreatId | 選擇性 | 字串 | 警示中識別的威脅或惡意代碼標識碼。 例如: 1234567891011121314 |
| ThreatCategory | 選擇性 | String | 警示中識別的威脅或惡意代碼類別。 支援的值為: Malware、、RansomwareTrojanVirusWormAdwareSpywareRootkit、、 CryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| ThreatName | 選擇性 | 字串 | 警示中所識別的威脅或惡意代碼名稱。 例如: Init.exe |
| ThreatConfidence | 選擇性 | 信心水準(整數) | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatOriginalConfidence | 選擇性 | 字串 | 原始系統所報告的信賴等級。 |
| ThreatRiskLevel | 選擇性 | 風險等級(整數) | 與威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。 |
| ThreatOriginalRiskLevel | 選擇性 | 字串 | 原始系統所報告的風險層級。 |
| ThreatIsActive | 選擇性 | 布爾 (bool) | 指出威脅目前是否作用中。 支援的值包括: True、 False |
| ThreatFirstReportedTime | 選擇性 | 日期/時間 | 第一次報告威脅的日期和時間。 例如: 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | 選擇性 | 日期/時間 | 上次報告威脅的日期和時間。 例如: 2024-09-19T10:12:10.0000000Z |
架構更新
以下是結構 0.1.1 版本的變更:
- 新增了檢查欄位。
- 新增了來源地理定位欄位。
- 新增了來源欄位:
SrcDescription,SrcOriginalRiskLevel, ,SrcOriginalUserTypeSrcPortNumberSrcRiskLevelSrcUserScopeSrcUserScopeIdSrcUserSessionId``SrcUserUid - 加上了別名
Src和User -
SrcUserUid欄位 和ThreatField在表格中可用ASimDhcpEventLogs,但不屬於結構結構。
下一步
如需詳細資訊,請參閱