你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
DHCP 信息模型用于描述 DHCP 服务器报告的事件,并由Microsoft Sentinel用于启用与源无关的分析。
有关详细信息,请参阅 规范化和高级安全信息模型 (ASIM) 。
解析 器
有关 ASIM 分析程序的详细信息,请参阅 ASIM 分析程序概述。
筛选分析程序参数
DHCP 分析程序支持 筛选参数。 虽然这些参数是可选的,但它们可以提高查询性能。
以下筛选参数可用:
| 名称 | 类型 | 说明 |
|---|---|---|
| starttime | datetime | 仅筛选在此时间或之后发生的 DHCP 事件。 此参数筛选 TimeGenerated 字段,该字段是事件时间的标准指示符,而不考虑 EventStartTime 和 EventEndTime 字段的特定于分析器的映射。 |
| endtime | datetime | 仅筛选在此时间或之前发生的 DHCP 事件。 此参数筛选 TimeGenerated 字段,该字段是事件时间的标准指示符,而不考虑 EventStartTime 和 EventEndTime 字段的特定于分析器的映射。 |
| srcipaddr_has_any_prefix | 动态 | 仅筛选源 IP 地址前缀与任何列出的值匹配的 DHCP 事件。 前缀应以 .结尾,例如: 10.0.。 |
| srchostname_has_any | 动态 | 仅筛选源主机名具有任何所列值的 DHCP 事件。 |
| srcusername_has_any | 动态 | 仅筛选源用户名具有任何所列值的 DHCP 事件。 |
| eventresult | string | 仅筛选具有特定事件结果的 DHCP 事件。 使用 * 包含所有结果。 |
例如,若要仅筛选过去一天中特定 IP 地址范围中的 DHCP 事件,请使用:
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
架构概述
ASIM DHCP 架构表示 DHCP 服务器活动,包括为从客户端系统租用的 DHCP IP 地址请求提供服务,以及更新已授予租约的 DNS 服务器。
DHCP 事件中最重要的字段是 SrcIpAddr 和 SrcHostname,DHCP 服务器通过授予租约进行绑定,并分别由 IpAddr 和 主机名 字段别名。 SrcMacAddr 字段也很重要,因为它表示未租用 IP 地址时使用的客户端计算机。
由于安全问题或网络饱和,DHCP 服务器可能会拒绝客户端。 它还可以通过租用 IP 地址来隔离客户端,以便将客户端连接到受限网络。 EventResult、EventResultDetails 和 DvcAction 字段提供有关 DHCP 服务器响应和操作的信息。
租约的持续时间存储在 DhcpLeaseDuration 字段中。
架构详细信息
ASIM 与 开源安全事件元数据 (OSSEM) 项目保持一致。
OSSEM 没有与 ASIM DHCP 架构相媲美的 DHCP 架构。
常见 ASIM 字段
重要
ASIM 通用字段一文中详细介绍了所有架构通用的字段。
具有特定准则的通用字段
以下列表提到了具有 DHCP 事件特定准则的字段:
| Field | 类 | 类型 | 说明 |
|---|---|---|---|
| EventType | 强制 | 枚举 | 指示记录报告的操作。 可能的值为 Assign、 Renew、 Release和 DNS Update。 例如: Assign |
| EventSchemaVersion | 强制 | SchemaVersion (String) | 此处记录的架构版本为 0.1.1。 |
| EventSchema | 强制 | String | 此处记录的架构的名称为 DhcpEvent。 |
| Dvc 字段 | - | - | 对于 DHCP 事件,设备字段是指报告 DHCP 事件的系统。 |
所有常见字段
表中显示的字段对所有 ASIM 架构都是通用的。 上面指定的任何准则都覆盖字段的一般准则。 例如,字段通常可能是可选的,但对于特定架构是必需的。 有关每个字段的详细信息,请参阅 ASIM 通用字段 一文。
| 类 | Fields |
|---|---|
| 强制 |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 建议 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 可选 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
特定于 DHCP 的字段
| Field | 类 | Type | 注意 |
|---|---|---|---|
| DhcpLeaseDuration | 可选 | 整数 | 授予客户端的租约长度(以秒为单位)。 |
| DhcpSessionId | 可选 | string | 报告设备报告的会话标识符。 对于 Windows DHCP 服务器,请将此项设置为 TransactionID 字段。 例如: 2099570186 |
| SessionId | 别名 | String | DhcpSessionId 的别名 |
| DhcpSessionDuration | 可选 | 整数 | 完成 DHCP 会话的时间量(以毫秒为单位)。 例如: 1500 |
| Duration | 别名 | DhcpSessionDuration 的别名 | |
| DhcpSrcDHCId | 可选 | String | 由 RFC4701 定义的 DHCP 客户端 ID |
| DhcpCircuitId | 可选 | String | 由 RFC3046 定义的 DHCP 线路 ID |
| DhcpSubscriberId | 可选 | String | 由 RFC3993 定义的 DHCP 订阅服务器 ID |
| DhcpVendorClassId | 可选 | String | 由 RFC3925 定义的 DHCP 供应商类 ID。 |
| DhcpVendorClass | 可选 | String | 由 RFC3925 定义的 DHCP 供应商类。 |
| DhcpUserClassId | 可选 | String | 由 RFC3004 定义的 DHCP 用户类 ID。 |
| DhcpUserClass | 可选 | String | 由 RFC3004 定义的 DHCP 用户类。 |
| RequestedIpAddr | 可选 | IP 地址 | DHCP 客户端请求的 IP 地址(如果可用)。 例如: 192.168.12.3 |
源系统字段
源系统是请求 DHCP 租约的系统
| Field | 类 | Type | 注意 |
|---|---|---|---|
| Src | 别名 | String | 源设备的唯一标识符。 此字段可能会对 SrcDvcId、 SrcHostname 或 SrcIpAddr 字段进行别名。 例如: 192.168.12.1 |
| SrcIpAddr | 强制 | IP 地址 | DHCP 服务器分配给客户端的 IP 地址。 例如: 192.168.12.1 |
| IpAddr | 别名 | SrcIpAddr 的别名 | |
| SrcHostname | 强制 | 主机名 (字符串) | 请求 DHCP 租约的设备主机名。 如果没有可用的设备名称,请将相关的 IP 地址存储在此字段中。 例如: DESKTOP-1282V4D |
| 主机 名 | 别名 | SrcHostname 的别名 | |
| SrcDomain | 建议 | 域 (字符串) | 源设备的域。 例如: Contoso |
| SrcDomainType | 条件 | 枚举 |
SrcDomain 的类型(如果已知)。 可能的值包括: - Windows (,例如: contoso)- FQDN (,例如: microsoft.com)如果使用 SrcDomain, 则是必需的。 |
| SrcFQDN | 可选 | FQDN (字符串) | 源设备主机名,包括域信息(如果有)。 注意:此字段支持传统的 FQDN 格式和 Windows 域\主机名格式。 SrcDomainType 字段反映所使用的格式。 例如: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 可选 | String | 记录中报告的源设备的 ID。 例如: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 可选 | String | 设备所属的云平台范围 ID。 SrcDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| SrcDvcScope | 可选 | String | 设备所属的云平台范围。 SrcDvcScope 映射到 Azure 上的订阅 ID,以及 AWS 上的帐户 ID。 |
| SrcDvcIdType | 条件 | 枚举 |
SrcDvcId 的类型(如果已知)。 可能的值包括: - AzureResourceId- MDEid如果有多个 ID 可用,请使用上面列表中的第一个 ID,并将其他 ID 分别存储在 SrcDvcAzureResourceId 和 SrcDvcMDEid 中。 注意:如果使用 SrcDvcId ,则需要此字段。 |
| SrcDeviceType | 可选 | 枚举 | 源设备的类型。 可能的值包括: - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | 可选 | String | 与设备关联的描述性文本。 例如:Primary Domain Controller。 |
| SrcGeoCountry | 可选 | 国家/地区 | 与源 IP 地址关联的国家/地区。 例如: USA |
| SrcGeoRegion | 可选 | 地区 | 与源 IP 地址关联的区域。 例如: Vermont |
| SrcGeoCity | 可选 | 市/县 | 与源 IP 地址关联的城市。 例如: Burlington |
| SrcGeoLatitude | 可选 | Latitude | 与源 IP 地址关联的地理坐标的纬度。 例如: 44.475833 |
| SrcGeoLongitude | 可选 | Longitude | 与源 IP 地址关联的地理坐标的经度。 例如: 73.211944 |
| SrcRiskLevel | 可选 | 整数 | 与源关联的风险级别。 值应调整为 范围,0设置为 ,并0针对良性和100100高风险。例如: 90 |
| SrcOriginalRiskLevel | 可选 | String | 与源关联的风险级别,由报告设备报告。 例如: Suspicious |
| SrcPortNumber | 可选 | 整数 | 发起连接的 IP 端口。 可能与包含多个连接的会话无关。 例如: 2335 |
源用户字段
| Field | 类 | Type | 注意 |
|---|---|---|---|
| SrcUserId | 可选 | String | 源用户的计算机可读字母数字唯一表示形式。 有关详细信息,以及有关其他 ID 的备用字段,请参阅 User 实体。 例如: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | 条件 | UserIdType | 存储在 SrcUserId 字段中的 ID 的类型。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserIdType。 |
| SrcUsername | 可选 | 用户名 (字符串) | 源用户名,包括域信息(如果可用)。 有关详细信息,请参阅 用户实体。 例如: AlbertE |
| 用户 | 别名 | SrcUsername 的别名 | |
| SrcUsernameType | 条件 | UsernameType | 指定存储在 SrcUsername 字段中的用户名的类型。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UsernameType。 例如: Windows |
| SrcUserType | 可选 | UserType | 源用户的类型。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserType。 例如: Guest |
| SrcOriginalUserType | 可选 | String | 原始源用户类型(如果由源提供)。 |
| SrcMacAddr | 强制 | Mac 地址 | 请求 DHCP 租约的客户端的 MAC 地址。 注意:Windows DHCP 服务器以非标准方式记录 MAC 地址,省略分析器应插入的冒号。 例如: 06:10:9f:eb:8f:14 |
| SrcUserScope | 可选 | String | 定义 SrcUserId 和 SrcUsername 的范围(例如Microsoft Entra租户)。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserScope。 |
| SrcUserScopeId | 可选 | String | 定义 SrcUserId 和 SrcUsername 的范围 ID,例如 Microsoft Entra 目录 ID。 有关详细信息和允许的值列表,请参阅架构概述一文中的 UserScopeId。 |
| SrcUserSessionId | 可选 | String | 执行组件登录会话的唯一 ID。 例如: 102pTUgC3p8RIqHvzxLCHnFlg |
检查字段
| Field | 类 | Type | 注意 |
|---|---|---|---|
| Rule | 别名 | string | RuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,则类型应转换为字符串。 |
| RuleNumber | 可选 | int | 与警报关联的规则编号。 例如 123456 |
| RuleName | 可选 | string | 与警报关联的规则的名称或 ID。 例如 Server PSEXEC Execution via Remote Access |
| ThreatId | 可选 | string | 警报中标识的威胁或恶意软件的 ID。 例如 1234567891011121314 |
| ThreatCategory | 可选 | String | 警报中标识的威胁或恶意软件的类别。 支持的值为:、、、、 Trojan、VirusSpywareAdwareCryptominorPhishingWormRootkit、Spam、MaliciousUrl、、 Security Policy ViolationSpoofingRansomwareMalwareUnknown |
| ThreatName | 可选 | string | 警报中标识的威胁或恶意软件的名称。 例如 Init.exe |
| ThreatConfidence | 可选 | ConfidenceLevel (Integer) | 所识别的威胁的置信度,规范化为介于 0 和 100 之间的值。 |
| ThreatOriginalConfidence | 可选 | string | 原始系统报告的置信度级别。 |
| ThreatRiskLevel | 可选 | RiskLevel (整数) | 与威胁关联的风险级别。 级别应为介于 0 和 100 之间的数字。 注意:可以使用其他比例在源记录中提供该值,应将其规范化为此比例。 原始值应存储在 ThreatRiskLevelOriginal 中。 |
| ThreatOriginalRiskLevel | 可选 | string | 原始系统报告的风险级别。 |
| ThreatIsActive | 可选 | 布尔值 | 指示威胁当前是否处于活动状态。 支持的值为: True、 False |
| ThreatFirstReportedTime | 可选 | 日期/时间 | 首次报告威胁的日期和时间。 例如 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | 可选 | 日期/时间 | 上次报告威胁的日期和时间。 例如 2024-09-19T10:12:10.0000000Z |
架构更新
下面是架构版本 0.1.1 中的更改:
- 添加了检查字段。
- 添加了源地理位置字段。
- 添加了源字段:
SrcDescription、、SrcOriginalRiskLevel、SrcOriginalUserType、SrcPortNumberSrcRiskLevelSrcUserScope、SrcUserScopeId、SrcUserSessionId``SrcUserUid - 添加了别名
Src和User - 字段
SrcUserUid和ThreatField在表中可用,ASimDhcpEventLogs但不是架构的一部分。
后续步骤
有关更多信息,请参阅: