DHCP 정보 모델은 DHCP 서버에서 보고한 이벤트를 설명하는 데 사용되며 Microsoft Sentinel 소스 독립적 분석을 사용하도록 설정하는 데 사용됩니다.
자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
파서
ASIM 파서에 대한 자세한 내용은 ASIM 파서 개요를 참조하세요.
파서 매개 변수 필터링
DHCP 파서는 필터링 매개 변수를 지원합니다. 이러한 매개 변수는 선택 사항이지만 쿼리 성능을 향상시킬 수 있습니다.
다음 필터링 매개 변수를 사용할 수 있습니다.
| 이름 | 유형 | 설명 |
|---|---|---|
| Starttime | datetime | 이 시간 이후에 발생한 DHCP 이벤트만 필터링합니다. 이 매개 변수는 TimeGenerated EventStartTime 및 EventEndTime 필드의 파서별 매핑에 관계없이 이벤트 시간의 표준 지정자인 필드를 필터링합니다. |
| Endtime | datetime | 이 시간 또는 그 이전에 발생한 DHCP 이벤트만 필터링합니다. 이 매개 변수는 TimeGenerated EventStartTime 및 EventEndTime 필드의 파서별 매핑에 관계없이 이벤트 시간의 표준 지정자인 필드를 필터링합니다. |
| srcipaddr_has_any_prefix | 동적 | 원본 IP 주소 접두사에서 나열된 값과 일치하는 DHCP 이벤트만 필터링합니다. 접두사는 로 .끝나야 합니다(예: 10.0.). |
| srchostname_has_any | 동적 | 원본 호스트 이름에 나열된 값이 있는 DHCP 이벤트만 필터링합니다. |
| srcusername_has_any | 동적 | 원본 사용자 이름에 나열된 값이 있는 DHCP 이벤트만 필터링합니다. |
| eventresult | 문자열 | 특정 이벤트 결과를 사용하여 DHCP 이벤트만 필터링합니다. 를 사용하여 * 모든 결과를 포함합니다. |
예를 들어 마지막 날의 특정 IP 주소 범위에서 DHCP 이벤트만 필터링하려면 다음을 사용합니다.
_Im_DhcpEvent (srcipaddr_has_any_prefix=dynamic(['10.0.']), starttime = ago(1d), endtime=now())
스키마 개요
ASIM DHCP 스키마는 클라이언트 시스템에서 임대된 DHCP IP 주소에 대한 요청을 제공하고 임대가 부여된 DNS 서버를 업데이트하는 등 DHCP 서버 작업을 나타냅니다.
DHCP 이벤트에서 가장 중요한 필드는 SrcIpAddr 및 SrcHostname이며, DHCP 서버는 임대를 부여하여 바인딩하고 IpAddr 및 Hostname 필드에 의해 각각 별칭이 지정됩니다. SrcMacAddr 필드는 IP 주소가 임대되지 않을 때 사용되는 클라이언트 컴퓨터를 나타내기 때문에 중요합니다.
DHCP 서버는 보안 문제 또는 네트워크 포화로 인해 클라이언트를 거부할 수 있습니다. 또한 제한된 네트워크에 연결하는 IP 주소를 임대하여 클라이언트를 격리할 수도 있습니다. EventResult, EventResultDetails 및 DvcAction 필드는 DHCP 서버 응답 및 작업에 대한 정보를 제공합니다.
임대 기간은 DhcpLeaseDuration 필드에 저장됩니다.
스키마 세부 정보
ASIM은 OSSEM(오픈 소스 보안 이벤트 메타데이터) 프로젝트와 정렬됩니다.
OSSEM에는 ASIM DHCP 스키마와 비슷한 DHCP 스키마가 없습니다.
일반 ASIM 필드
중요
모든 스키마에 공통된 필드는 ASIM 공통 필드 문서에서 자세히 설명합니다.
특정 지침이 있는 공통 필드
다음 목록에서는 DHCP 이벤트에 대한 특정 지침이 있는 필드를 설명합니다.
| 필드 | 클래스 | 유형 | 설명 |
|---|---|---|---|
| EventType | 필수 | 열거 | 레코드에서 보고한 작업을 나타냅니다. 가능한 값은 , Renew, Release및 입니다DNS UpdateAssign. 예: Assign |
| EventSchemaVersion | 필수 | SchemaVersion(문자열) | 여기에 설명된 스키마 버전은 0.1.1입니다. |
| EventSchema | 필수 | String | 여기에 설명된 스키마의 이름은 DhcpEvent입니다. |
| Dvc 필드 | - | - | DHCP 이벤트의 경우 디바이스 필드는 DHCP 이벤트를 보고하는 시스템을 참조합니다. |
모든 공통 필드
테이블에 표시되는 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 위에 지정된 모든 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드는 일반적으로 선택 사항이지만 특정 스키마에는 필수일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
| 클래스 | 필드 |
|---|---|
| 필수 |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 권장 |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| 옵션 |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
DHCP 관련 필드
| 필드 | 클래스 | 유형 | 참고 |
|---|---|---|---|
| DhcpLeaseDuration | 옵션 | 정수 | 클라이언트에 부여된 임대의 길이(초)입니다. |
| DhcpSessionId | 옵션 | 문자열 | 보고 디바이스에서 보고한 세션 식별자입니다. Windows DHCP 서버의 경우 TransactionID 필드로 설정합니다. 예: 2099570186 |
| SessionId | 별칭 | String | DhcpSessionId에 대한 별칭 |
| DhcpSessionDuration | 옵션 | 정수 | DHCP 세션 완료 시간(밀리초)입니다. 예: 1500 |
| 기간 | 별칭 | 별칭에서 DhcpSessionDuration으로 | |
| DhcpSrcDHCId | 옵션 | String | RFC4701 정의된 DHCP 클라이언트 ID |
| DhcpCircuitId | 옵션 | String | RFC3046 정의된 DHCP 회로 ID |
| DhcpSubscriberId | 옵션 | String | RFC3993 정의된 DHCP 구독자 ID |
| DhcpVendorClassId | 옵션 | String | RFC3925 정의된 DHCP 공급업체 클래스 ID입니다. |
| DhcpVendorClass | 옵션 | String | RFC3925 정의된 DHCP 공급업체 클래스입니다. |
| DhcpUserClassId | 옵션 | String | RFC3004 정의된 DHCP 사용자 클래스 ID입니다. |
| DhcpUserClass | 옵션 | String | RFC3004 정의된 DHCP 사용자 클래스입니다. |
| RequestedIpAddr | 옵션 | IP 주소 | 사용 가능한 경우 DHCP 클라이언트에서 요청한 IP 주소입니다. 예: 192.168.12.3 |
원본 시스템 필드
원본 시스템은 DHCP 임대를 요청하는 시스템입니다.
| 필드 | 클래스 | 유형 | 참고 |
|---|---|---|---|
| Src | 별칭 | String | 원본 디바이스의 고유 식별자입니다. 이 필드는 SrcDvcId, SrcHostname 또는 SrcIpAddr 필드의 별칭을 지정할 수 있습니다. 예: 192.168.12.1 |
| SrcIpAddr | 필수 | IP 주소 | DHCP 서버에서 클라이언트에 할당된 IP 주소입니다. 예: 192.168.12.1 |
| IpAddr | 별칭 | SrcIpAddr의 별칭 | |
| SrcHostname | 필수 | 호스트 이름(문자열) | DHCP 임대를 요청하는 디바이스의 호스트 이름입니다. 사용할 수 있는 디바이스 이름이 없는 경우 이 필드에 관련 IP 주소를 저장합니다. 예: DESKTOP-1282V4D |
| 호스트 | 별칭 | SrcHostname의 별칭 | |
| SrcDomain | 권장 | 도메인(문자열) | 원본 디바이스의 도메인입니다. 예: Contoso |
| SrcDomainType | 조건부 | 열거 |
알려진 경우 SrcDomain의 형식입니다. 가능한 값은 다음과 같습니다. - Windows (예: contoso)- FQDN (예: microsoft.com)SrcDomain을 사용하는 경우 필요합니다. |
| SrcFQDN | 옵션 | FQDN(문자열) | 사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다. 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다. 예: Contoso\DESKTOP-1282V4D |
| SrcDvcId | 옵션 | String | 레코드에 보고된 원본 디바이스의 ID입니다. 예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope ID입니다. SrcDvcScopeId는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcScope | 옵션 | String | 디바이스가 속한 클라우드 플랫폼 scope. SrcDvcScope는 Azure 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcIdType | 조건부 | 열거 |
알려진 경우 SrcDvcId의 형식입니다. 가능한 값은 다음과 같습니다. - AzureResourceId- MDEid여러 ID를 사용할 수 있는 경우 위의 목록에서 첫 번째 ID를 사용하고 다른 ID를 각각 SrcDvcAzureResourceId 및 SrcDvcMDEid에 저장합니다. 참고: SrcDvcId 를 사용하는 경우 이 필드가 필요합니다. |
| SrcDeviceType | 옵션 | 열거 | 원본 디바이스의 형식입니다. 가능한 값은 다음과 같습니다. - Computer- Mobile Device- IOT Device- Other |
| SrcDescription | 옵션 | String | 디바이스와 연결된 설명 텍스트입니다. 예: Primary Domain Controller |
| SrcGeoCountry | 옵션 | 국가 | 원본 IP 주소와 연결된 국가/지역입니다. 예: USA |
| SrcGeoRegion | 옵션 | 지역 | 원본 IP 주소와 연결된 지역입니다. 예: Vermont |
| SrcGeoCity | 선택 | 구/군/시 | 원본 IP 주소와 연결된 도시입니다. 예: Burlington |
| SrcGeoLatitude | 옵션 | 위도 | 원본 IP 주소와 연결된 지리적 좌표의 위도입니다. 예: 44.475833 |
| SrcGeoLongitude | 옵션 | 경도 | 원본 IP 주소와 연결된 지리적 좌표의 경도입니다. 예: 73.211944 |
| SrcRiskLevel | 옵션 | 정수 | 원본과 연결된 위험 수준입니다. 값은 의 범위 0100로 조정되어야 하며 0 , 무해하고 100 위험이 높은 경우 로 조정해야 합니다.예: 90 |
| SrcOriginalRiskLevel | 옵션 | String | 보고 디바이스에서 보고한 원본과 관련된 위험 수준입니다. 예: Suspicious |
| SrcPortNumber | 옵션 | 정수 | 연결이 시작된 IP 포트입니다. 여러 연결로 구성된 세션과 관련이 없을 수 있습니다. 예: 2335 |
원본 사용자 필드
| 필드 | 클래스 | 유형 | 참고 |
|---|---|---|---|
| SrcUserId | 옵션 | String | 컴퓨터에서 읽을 수 있는 영숫자이며 원본 사용자의 고유한 표현입니다. 자세한 내용 및 추가 ID에 대한 대체 필드에 대한 자세한 내용은 사용자 엔터티를 참조하세요. 예: S-1-12-1-4141952679-1282074057-627758481-2916039507 |
| SrcUserIdType | 조건부 | UserIdType | SrcUserId 필드에 저장된 ID의 형식입니다. 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의UserIdType을 참조하세요. |
| SrcUsername | 옵션 | 사용자 이름(문자열) | 사용 가능한 경우 도메인 정보를 포함하는 원본 사용자 이름입니다. 자세한 내용은 사용자 엔터티를 참조하세요. 예: AlbertE |
| 사용자 | 별칭 | SrcUsername의 별칭 | |
| SrcUsernameType | 조건부 | UsernameType |
SrcUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 자세한 내용과 허용되는 값 목록은 스키마 개요 문서의UsernameType을 참조하세요. 예: Windows |
| SrcUserType | 옵션 | UserType | 원본 사용자의 형식입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserType을 참조하세요. 예: Guest |
| SrcOriginalUserType | 옵션 | String | 원본에서 제공하는 경우 원래 원본 사용자 유형입니다. |
| SrcMacAddr | 필수 | Mac 주소 | DHCP 임대를 요청하는 클라이언트의 MAC 주소입니다. 참고: Windows DHCP 서버는 MAC 주소를 비표준 방식으로 기록하여 파서에서 삽입해야 하는 콜론을 생략합니다. 예: 06:10:9f:eb:8f:14 |
| SrcUserScope | 옵션 | String | SrcUserId 및 SrcUsername이 정의된 Microsoft Entra 테넌트와 같은 scope. 또는 허용되는 값의 자세한 내용과 목록은 스키마 개요 문서의UserScope를 참조하세요. |
| SrcUserScopeId | 옵션 | String | SrcUserId 및 SrcUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 scope ID입니다. 자세한 내용 및 허용되는 값 목록은 스키마 개요 문서의UserScopeId를 참조하세요. |
| SrcUserSessionId | 옵션 | String | 행위자의 로그인 세션의 고유 ID입니다. 예: 102pTUgC3p8RIqHvzxLCHnFlg |
검사 필드
| 필드 | 클래스 | 유형 | 참고 |
|---|---|---|---|
| 규칙 | 별칭 | 문자열 | RuleName 값 또는 RuleNumber 값입니다. RuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다. |
| RuleNumber | 옵션 | int | 경고와 연결된 규칙의 수입니다. 예. 123456 |
| RuleName | 옵션 | 문자열 | 경고와 연결된 규칙의 이름 또는 ID입니다. 예. Server PSEXEC Execution via Remote Access |
| ThreatId | 옵션 | 문자열 | 경고에서 식별된 위협 또는 맬웨어의 ID입니다. 예. 1234567891011121314 |
| ThreatCategory | 옵션 | String | 경고에서 식별된 위협 또는 맬웨어의 범주입니다. 지원되는 값은 , , Ransomware, VirusTrojan, Worm, Adware, Spyware, Rootkit, Cryptominor, Phishing, Spam, MaliciousUrl, , Spoofing, , Security Policy Violation입니다Malware.Unknown |
| ThreatName | 옵션 | 문자열 | 경고에서 식별된 위협 또는 맬웨어의 이름입니다. 예. Init.exe |
| ThreatConfidence | 옵션 | ConfidenceLevel(정수) | 식별된 위협의 신뢰 수준이며 0에서 100 사이의 값으로 정규화됩니다. |
| ThreatOriginalConfidence | 옵션 | 문자열 | 원래 시스템에서 보고한 신뢰 수준입니다. |
| ThreatRiskLevel | 옵션 | RiskLevel(정수) | 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. 참고: 이 배율로 정규화해야 하는 다른 배율을 사용하여 원본 레코드에 값을 제공할 수 있습니다. 원래 값은 ThreatRiskLevelOriginal에 저장되어야 합니다. |
| ThreatOriginalRiskLevel | 옵션 | 문자열 | 원래 시스템에서 보고한 위험 수준입니다. |
| ThreatIsActive | 옵션 | bool | 위협이 현재 활성 상태인지 여부를 나타냅니다. 지원되는 값은 입니다 True. False |
| ThreatFirstReportedTime | 옵션 | 날짜/시간 | 위협이 처음 보고된 날짜 및 시간입니다. 예. 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | 옵션 | 날짜/시간 | 위협이 마지막으로 보고된 날짜 및 시간입니다. 예. 2024-09-19T10:12:10.0000000Z |
스키마 업데이트
다음은 스키마 버전 0.1.1의 변경 내용입니다.
- 검사 필드가 추가되었습니다.
- 원본 지리적 위치 필드를 추가했습니다.
- 원본 필드
SrcDescription, ,SrcOriginalRiskLevel, ,SrcOriginalUserTypeSrcRiskLevelSrcPortNumber, , ,SrcUserScope가SrcUserScopeId추가되었습니다.SrcUserSessionId``SrcUserUid - 별칭 및 를 추가했습니다.
SrcUser - 및
ThreatField필드는SrcUserUid테이블에서 사용할 수ASimDhcpEventLogs있지만 스키마의 일부가 아닙니다.
다음 단계
자세한 내용은 다음을 참조하세요.