DHCP 情報モデルは、DHCP サーバーによって報告されるイベントを記述するために使用され、ソースに依存しない分析を有効にするためにMicrosoft Sentinelによって使用されます。
詳細については、「 正規化と高度なセキュリティ情報モデル (ASIM)」を参照してください。
パーサー
ASIM パーサーの詳細については、 ASIM パーサーの概要に関するページを参照してください。
パーサー パラメーターのフィルター処理
DHCP パーサーでは、 フィルター パラメーターがサポートされています。 これらのパラメーターは省略可能ですが、クエリのパフォーマンスを向上させることができます。
次のフィルター パラメーターを使用できます。
| 名前 | 型 | 説明 |
|---|---|---|
| starttime | 日付型 | この時刻以降に発生した DHCP イベントのみをフィルター処理します。 このパラメーターは、EventStartTime フィールドと EventEndTime フィールドのパーサー固有のマッピングに関係なく、イベントの時刻の標準指定子である TimeGenerated フィールドでフィルター処理します。 |
| endtime | 日付型 | この時刻以前に発生した DHCP イベントのみをフィルター処理します。 このパラメーターは、EventStartTime フィールドと EventEndTime フィールドのパーサー固有のマッピングに関係なく、イベントの時刻の標準指定子である TimeGenerated フィールドでフィルター処理します。 |
| srcipaddr_has_any_prefix | 動的 | ソース IP アドレス プレフィックスが一覧表示されている値のいずれかと一致する DHCP イベントのみをフィルター処理します。 プレフィックスは、 .で終わる必要があります (例: 10.0.)。 |
| srchostname_has_any | 動的 | ソース ホスト名に一覧表示されている値のいずれかが含まれる DHCP イベントのみをフィルター処理します。 |
| srcusername_has_any | 動的 | ソース ユーザー名に一覧表示されている値が含まれている DHCP イベントのみをフィルター処理します。 |
| eventresult | string | 特定のイベント結果を使用して DHCP イベントのみをフィルター処理します。
*を使用して、すべての結果を含めます。 |
たとえば、最後の日の特定の IP アドレス範囲から DHCP イベントのみをフィルター処理するには、次を使用します。
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
スキーマの概要
ASIM DHCP スキーマは、クライアント システムからリースされた DHCP IP アドレスの要求の提供や、リースが付与された DNS サーバーの更新など、DHCP サーバーのアクティビティを表します。
DHCP イベントの最も重要なフィールドは SrcIpAddr と SrcHostname です。このフィールドは、DHCP サーバーがリースを許可してバインドし、 それぞれ IpAddr フィールドと Hostname フィールドによってエイリアス化されます。 SrcMacAddr フィールドは、IP アドレスがリースされていないときに使用されるクライアント マシンを表すので、重要でもあります。
DHCP サーバーは、セキュリティ上の問題、またはネットワークの飽和のために、クライアントを拒否する可能性があります。 また、制限されたネットワークに接続する IP アドレスをクライアントにリースすることで、クライアントを検疫することもできます。 EventResult、EventResultDetails、および DvcAction フィールドは、DHCP サーバーの応答とアクションに関する情報を提供します。
リースの期間は DhcpLeaseDuration フィールドに格納されます。
スキーマの詳細
ASIM は、 オープン ソース セキュリティ イベント メタデータ (OSSEM) プロジェクトと連携しています。
OSSEM には、ASIM DHCP スキーマに匹敵する DHCP スキーマがありません。
一般的な ASIM フィールド
重要
すべてのスキーマに共通のフィールドについては、 ASIM 共通フィールド に関する記事を参照してください。
特定のガイドラインを含む共通フィールド
次の一覧では、DHCP イベントに関する特定のガイドラインがあるフィールドについて説明します。
| Field | クラス | 型 | 説明 |
|---|---|---|---|
| EventType | 必須 | 列挙 | レコードによって報告される操作を示します。 使用可能な値は、 Assign、 Renew、 Release、および DNS Updateです。 例: Assign |
| EventSchemaVersion | 必須 | SchemaVersion (String) | ここに記載されているスキーマのバージョンは 0.1.1 です。 |
| EventSchema | 必須 | 文字列 | ここに記載されているスキーマの名前は DhcpEvent です。 |
| Dvc フィールド | - | - | DHCP イベントの場合、デバイス フィールドは DHCP イベントを報告するシステムを参照します。 |
すべての共通フィールド
テーブルに表示されるフィールドは、すべての ASIM スキーマに共通です。 上記で指定したガイドラインは、フィールドの一般的なガイドラインをオーバーライドします。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、 ASIM 共通フィールド に関する記事を参照してください。
| クラス | フィールド |
|---|---|
| 必須 |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 省略可能 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
DHCP 固有のフィールド
| Field | クラス | Type | Notes |
|---|---|---|---|
| DhcpLeaseDuration | 省略可能 | 整数 | クライアントに付与されるリースの長さ (秒単位)。 |
| DhcpSessionId | 省略可能 | string | レポート デバイスによって報告されるセッション識別子。 Windows DHCP サーバーの場合は、これを [TransactionID] フィールドに設定します。 例: 2099570186 |
| SessionId | Alias | 文字列 | DhcpSessionId へのエイリアス |
| DhcpSessionDuration | 省略可能 | 整数 | DHCP セッションが完了するまでの時間 (ミリ秒単位)。 例: 1500 |
| Duration | Alias | DhcpSessionDuration へのエイリアス | |
| DhcpSrcDHCId | 省略可能 | 文字列 | RFC4701で定義されている DHCP クライアント ID |
| DhcpCircuitId | 省略可能 | 文字列 | RFC3046で定義されている DHCP 回線 ID |
| DhcpSubscriberId | 省略可能 | 文字列 | RFC3993で定義されている DHCP サブスクライバー ID |
| DhcpVendorClassId | 省略可能 | 文字列 | RFC3925で定義されている DHCP ベンダー クラス ID。 |
| DhcpVendorClass | 省略可能 | 文字列 | RFC3925で定義されている DHCP ベンダー クラス。 |
| DhcpUserClassId | 省略可能 | 文字列 | RFC3004で定義されている DHCP ユーザー クラス ID。 |
| DhcpUserClass | 省略可能 | 文字列 | RFC3004で定義されている DHCP ユーザー クラス。 |
| RequestedIpAddr | 省略可能 | IP アドレス | DHCP クライアントによって要求された IP アドレス (使用可能な場合)。 例: 192.168.12.3 |
ソース システムフィールド
ソース システムは、DHCP リースを要求するシステムです
| Field | クラス | Type | Notes |
|---|---|---|---|
| Src | Alias | 文字列 | ソース デバイスの一意識別子。 このフィールドは 、SrcDvcId、 SrcHostname、または SrcIpAddr フィールドに 別名を付けることができます。 例: 192.168.12.1 |
| SrcIpAddr | 必須 | IP アドレス | DHCP サーバーによってクライアントに割り当てられた IP アドレス。 例: 192.168.12.1 |
| IpAddr | Alias | SrcIpAddr のエイリアス | |
| SrcHostname | 必須 | Hostname (String) | DHCP リースを要求するデバイスのホスト名。 使用可能なデバイス名がない場合は、このフィールドに関連する IP アドレスを格納します。 例: DESKTOP-1282V4D |
| ホスト | Alias | SrcHostname のエイリアス | |
| SrcDomain | 推奨 | ドメイン (文字列) | ソース デバイスのドメイン。 例: Contoso |
| SrcDomainType | 条件 付き | 列挙 |
SrcDomain の型 (既知の場合)。 次の値を指定できます。 - Windows (例: contoso)- FQDN (例: microsoft.com)SrcDomain を使用する場合は必須です。 |
| SrcFQDN | 省略可能 | FQDN (文字列) | ソース デバイスのホスト名(使用可能な場合はドメイン情報を含む)。 注: このフィールドは、従来の FQDN 形式と Windows ドメイン\ホスト名形式の両方をサポートします。 SrcDomainType フィールドには、使用される形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 省略可能 | 文字列 | レコードで報告されるソース デバイスの ID。 例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ ID。 SrcDvcScopeId は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| SrcDvcScope | 省略可能 | 文字列 | デバイスが属するクラウド プラットフォーム スコープ。 SrcDvcScope は、Azureのサブスクリプション ID と AWS のアカウント ID にマップされます。 |
| SrcDvcIdType | 条件 付き | 列挙 |
SrcDvcId の型 (既知の場合)。 次の値を指定できます。 - AzureResourceId- MDEid複数の ID が使用可能な場合は、上記の一覧の最初の ID を使用し、他の ID をそれぞれ SrcDvcAzureResourceId と SrcDvcMDEid に格納します。 注: SrcDvcId を使用する場合は、このフィールドが必要です。 |
| SrcDeviceType | 省略可能 | 列挙 | ソース デバイスの種類。 次の値を指定できます。 - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | 省略可能 | 文字列 | デバイスに関連付けられている説明テキスト。 例: Primary Domain Controller。 |
| SrcGeoCountry | 省略可能 | 国 | 送信元 IP アドレスに関連付けられている国/地域。 例: USA |
| SrcGeoRegion | 省略可能 | Region | ソース IP アドレスに関連付けられているリージョン。 例: Vermont |
| SrcGeoCity | 省略可能 | City | ソース IP アドレスに関連付けられている都市。 例: Burlington |
| SrcGeoLatitude | 省略可能 | Latitude | ソース IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| SrcGeoLongitude | 省略可能 | Longitude | ソース IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
| SrcRiskLevel | 省略可能 | 整数 | ソースに関連付けられているリスク レベル。 値は100する0の範囲に調整する必要があります。リスクが高い場合は問題のない100に0します。例: 90 |
| SrcOriginalRiskLevel | 省略可能 | 文字列 | レポート デバイスによって報告されるソースに関連付けられているリスク レベル。 例: Suspicious |
| SrcPortNumber | 省略可能 | 整数 | 接続の送信元の IP ポート。 複数の接続を構成するセッションには関係ない場合があります。 例: 2335 |
ソース ユーザー フィールド
| Field | クラス | Type | Notes |
|---|---|---|---|
| SrcUserId | 省略可能 | 文字列 | ソース ユーザーのコンピューターで読み取り可能な英数字の一意の表現。 詳細および追加の ID の代替フィールドについては、「 ユーザー エンティティ」を参照してください。 例: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | 条件 付き | UserIdType | SrcUserId フィールドに格納されている ID の型。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| SrcUsername | 省略可能 | ユーザー名 (文字列) | 使用可能な場合はドメイン情報を含むソース ユーザー名。 詳細については、「 ユーザー エンティティ」を参照してください。 例: AlbertE |
| ユーザー | Alias | SrcUsername のエイリアス | |
| SrcUsernameType | 条件 付き | UsernameType |
SrcUsername フィールドに格納されているユーザー名の種類を指定します。 許可される値の詳細と一覧については、スキーマの概要に関する記事の UsernameType に関する記事を参照してください。 例: Windows |
| SrcUserType | 省略可能 | UserType | ソース ユーザーの種類。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserType」を参照してください。 例: Guest |
| SrcOriginalUserType | 省略可能 | 文字列 | ソースによって指定された場合は、元のソース ユーザーの種類。 |
| SrcMacAddr | 必須 | Mac アドレス | DHCP リースを要求するクライアントの MAC アドレス。 注: Windows DHCP サーバーは、コロンを省略して標準以外の方法で MAC アドレスをログに記録します。これはパーサーによって挿入する必要があります。 例: 06:10:9f:eb:8f:14 |
| SrcUserScope | 省略可能 | 文字列 | SrcUserId と SrcUsername が定義されているMicrosoft Entraテナントなどのスコープ。 または、許可される値の詳細と一覧については、スキーマの概要に関する記事の UserScope を参照してください。 |
| SrcUserScopeId | 省略可能 | 文字列 | SrcUserId と SrcUsername が定義されているMicrosoft Entra ディレクトリ ID などのスコープ ID。 許可される値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| SrcUserSessionId | 省略可能 | 文字列 | アクターのサインイン セッションの一意の ID。 例: 102pTUgC3p8RIqHvzxLCHnFlg |
検査フィールド
| Field | クラス | Type | Notes |
|---|---|---|---|
| Rule | Alias | string | RuleName の値、または RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| RuleNumber | 省略可能 | int | アラートに関連付けられているルールの数。 例えば。 123456 |
| RuleName | 省略可能 | string | アラートに関連付けられているルールの名前または ID。 例えば。 Server PSEXEC Execution via Remote Access |
| ThreatId | 省略可能 | string | アラートで特定された脅威またはマルウェアの ID。 例えば。 1234567891011121314 |
| ThreatCategory | 省略可能 | 文字列 | アラートで特定された脅威またはマルウェアのカテゴリ。 サポートされる値は、 Malware、 Ransomware、 Trojan、 Virus、 Worm、 Adware、 Spyware、 Rootkit、 Cryptominor、 Phishing、 Spam、 MaliciousUrl、 Spoofing、 Security Policy Violation、 Unknown |
| ThreatName | 省略可能 | string | アラートで特定された脅威またはマルウェアの名前。 例えば。 Init.exe |
| ThreatConfidence | 省略可能 | ConfidenceLevel (整数) | 特定された脅威の信頼レベルを、0 から 100 の値に正規化します。 |
| ThreatOriginalConfidence | 省略可能 | string | 元のシステムによって報告される信頼レベル。 |
| ThreatRiskLevel | 省略可能 | RiskLevel (整数) | 脅威に関連付けられているリスク レベル。 レベルは 0 ~ 100 の数値にする必要があります。 注: この値は、このスケールに正規化する必要がある別のスケールを使用してソース レコードに提供される場合があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。 |
| ThreatOriginalRiskLevel | 省略可能 | string | 発生元システムによって報告されるリスク レベル。 |
| ThreatIsActive | 省略可能 | bool | 脅威が現在アクティブかどうかを示します。 サポートされる値: True、 False |
| ThreatFirstReportedTime | 省略可能 | 日付/時刻 | 脅威が最初に報告された日時。 例えば。 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | 省略可能 | 日付/時刻 | 脅威が最後に報告された日時。 例えば。 2024-09-19T10:12:10.0000000Z |
スキーマの更新
スキーマのバージョン 0.1.1 の変更を次に示します。
- 検査フィールドを追加しました。
- ソース geo の場所フィールドを追加しました。
- ソース フィールドを追加しました:
SrcDescription、SrcOriginalRiskLevel、SrcOriginalUserType、SrcPortNumber、SrcRiskLevel、SrcUserScope、SrcUserScopeId、SrcUserSessionId``SrcUserUid - エイリアス
Srcを追加し、User -
SrcUserUidフィールドとThreatFieldは、ASimDhcpEventLogsテーブルで使用できますが、スキーマの一部ではありません。
次の手順
詳細については、以下を参照してください。