Konfigurationsoptionen für das Microsoft DHCP-Protokoll

Um Ereignisse von Microsoft DHCP-Servern zu empfangen, konfigurieren Sie eine Protokollquelle für die Verwendung des Microsoft DHCP-Protokolls.

Das Microsoft DHCP-Protokoll ist ein aktives abgehendes Protokoll.

Zum Lesen der Protokolldateien benötigen Ordnerpfade, die eine administrative Freigabe (C$) enthalten, NetBIOS -Berechtigungen für die administrative Freigabe (C$). Lokale Administratoren oder Domänenadministratoren verfügen über ausreichende Berechtigungen, um auf Protokolldateien in administrativen Freigaben zuzugreifen.

Felder für das Microsoft DHCP-Protokoll, die Dateipfade unterstützen, ermöglichen Administratoren die Definition eines Laufwerkbuchstabens mit den Pfadinformationen. Das Feld kann beispielsweise das Verzeichnis c$/LogFiles/ für eine administrative Freigabe oder das Verzeichnis LogFiles/ für einen öffentlichen Freigabeordnerpfad enthalten, aber nicht das Verzeichnis c:/LogFiles .

Einschränkung: Das Microsoft-Authentifizierungsprotokoll NTLMv2 wird vom Microsoft DHCP-Protokoll nicht unterstützt.

In der folgenden Tabelle werden die protokollspezifischen Parameter für das Microsoft DHCP-Protokoll beschrieben:

Tabelle 1. Microsoft DHCP-Protokollparameter
Parameter	Beschreibung
Protokollkonfiguration	Microsoft DHCP
Log Source Identifier (Protokollquellenkennung)	Geben Sie einen eindeutigen Hostnamen oder eine andere eindeutige Kennung für die Protokollquelle ein.
Serveradresse	Die IP-Adresse oder der Hostname Ihres Microsoft DHCP-Servers.
Domäne	Geben Sie die Domäne für Ihren Microsoft DHCP-Server ein. Dieser Parameter ist optional, wenn sich Ihr Server nicht in einer Domäne befindet.
Username	Geben Sie den Benutzernamen ein, der für den Zugriff auf den DHCP-Server erforderlich ist.
Password	Geben Sie das Kennwort ein, das für den Zugriff auf den DHCP-Server erforderlich ist.
Bestätigungskennwort	Geben Sie das Kennwort ein, das für den Zugriff auf den Server erforderlich ist.
Ordnerpfad	Der Verzeichnispfad zu den DHCP-Protokolldateien. Der Standardwert ist `/WINDOWS/system32/dhcp/`
Dateimuster	Der reguläre Ausdruck (regex), der Ereignisprotokolle identifiziert. Die Protokolldateien müssen eine aus drei Zeichen bestehende Abkürzung für einen Wochentag enthalten. Verwenden Sie eines der folgenden Dateimuster: Englisch: IPv4 -Dateimuster: `DhcpSrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. IPv6 -Dateimuster: `DhcpV6SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. Gemischtes IPv4 -und IPv6 -Dateimuster: `Dhcp.*SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. Polnisch: IPv4 -Dateimuster: `DhcpSrvLog-(?:Pią\|Pon\|Sob\|Wto\|Śro\|Czw\|Nie)\.log` IPv6 -Dateimuster: `DhcpV6SrvLog-(?:Pt\|Pon\|So\|Wt\|Śr\|Czw\|Nie)\.log`
Rekursiv	Wählen Sie diese Option aus, wenn das Dateimuster die Unterordner durchsuchen soll.
SMB-Version	Wählen Sie die Version von SMB aus, die Sie verwenden wollen. AUTO Erkennt automatisch die höchste Version, die der Client und der Server verwenden. SMB1 Erzwingt die Verwendung von SMB1. SMB1 verwendet die Datei jCIFS.jar (Java™ ARchive). Wichtig: SMB1 wird nicht mehr unterstützt. Alle Administratoren müssen vorhandene Konfigurationen aktualisieren, um SMB2 oder SMB3verwenden zu können. SMB2 Erzwingt die Verwendung von SMB2. SMB2 verwendet die Datei jNQ.jar . SMB3 Erzwingt die Verwendung von SMB3. SMB3 verwendet die Datei jNQ.jar . Hinweis: Bevor Sie eine Protokollquelle mit einer bestimmten SMB-Version erstellen (z. B. SMBv1, SMBv2und SMBv3), stellen Sie sicher, dass die angegebene SMB-Version von dem Windows-Betriebssystem unterstützt wird, das auf Ihrem Server ausgeführt wird. Außerdem müssen Sie überprüfen, ob SMB-Versionen auf dem angegebenen Windows-Server aktiviert sind. Weitere Informationen dazu, welche Windows-Version welche SMB-Versionen unterstützt, finden Sie auf der Website Microsoft TechNet (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ). Weitere Informationen zum Erkennen, Aktivieren und Inaktivieren von SMBv1, SMBv2und SMBv3 unter Windows und Windows Server Rufen Sie die Microsoft Support-Website auf (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server).
Abfrageintervall (in Sekunden)	Die Anzahl der Sekunden zwischen Abfragen an die Protokolldateien, die auf neue Daten geprüft werden sollen Das minimale Abfrageintervall beträgt 10 Sekunden. Das maximale Abfrageintervall beträgt 3.600 Sekunden.
Regulierungsereignisse/Sek.	Die maximale Anzahl Ereignisse, die das DHCP-Protokoll pro Sekunde weiterleiten kann. Der Mindestwert ist 100 EPS. Der Maximalwert ist 20.000 EPS.
Dateiverschlüsselung	Die Zeichencodierung, die von den Ereignissen in Ihrer Protokolldatei verwendet wird
Dateiausschlussliste	Eine Liste mit regulären Ausdrücken, die das Öffnen bestimmter Dateiverzeichnisse verhindern. Die Liste enthält einen regulären Ausdruck pro Zeile. Wenn eine Datei oder ein Verzeichnis mit einem der regulären Ausdrücke übereinstimmt, wird diese Datei bzw. dieses Verzeichnis nicht geöffnet. Wenn eine Datei im Gebrauch ist, können andere Anwendungen sie möglicherweise nicht verwenden. Mit diesem Parameter können Sie verhindern, dass diese Dateien gesperrt werden oder dass das Protokoll auf bestimmte Dateien zugreift. Das Muster gilt nicht für den vollständigen Ordnerpfad. Sie gilt nur für das endgültige Verzeichnis, das im Pfad aufgelistet ist. Das Muster gilt für alle Dateien oder Verzeichnisse, die sich im Verzeichnis des Ordnerpfads befinden. Die folgende Liste ist der Standardwert für diesen Parameter: `/j50.*\.log` `dhcp\.mdb` `dhcp\.tmp` `j50\.chk`.
Aktiviert	Wenn diese Option nicht aktiviert ist, erfasst die Protokollquelle keine Ereignisse und die Protokollquelle wird nicht im Lizenzgrenzwert gezählt.
Zuverlässigkeit	Zuverlässigkeit ist eine Darstellung der Integrität oder Gültigkeit von Ereignissen, die von einer Protokollquelle erstellt wurden. Der Zuverlässigkeitswert, der einer Protokollquelle zugeordnet wird, kann auf der Basis eingehender Ereignisse erhöht oder verringert oder als Antwort auf benutzerdefinierte Ereignisregeln angepasst werden. Die Zuverlässigkeit von Ereignissen aus Protokollquellen trägt zur Berechnung des Ausmaßes des Angriffs bei und kann den Wert für das Ausmaß eines Angriffs erhöhen oder verringern.
Target Event Collector (Zielereigniskollektor)	Gibt den QRadar -Ereigniskollektor an, der die ferne Protokollquelle abfragt. Verwenden Sie diesen Parameter in einer verteilten Implementierung, um die Leistung des Konsolensystems zu verbessern, indem Sie die Abfragetask auf einen Ereigniskollektor verschieben.
Verbindungsereignisse	Erhöht die Ereignisanzahl, wenn dasselbe Ereignis innerhalb eines kurzen Zeitintervalls mehrmals auftritt. Verbundene Ereignisse bieten eine Möglichkeit, die Häufigkeit, mit der ein einzelner Ereignistyp auftritt, auf der Registerkarte Protokollaktivität anzuzeigen und zu bestimmen. Wenn dieses Kontrollkästchen abgewählt ist, werden Ereignisse einzeln angezeigt und nicht gebündelt. Neue und automatisch erkannte Protokollquellen übernehmen den Wert dieses Kontrollkästchens aus der Konfiguration Systemeinstellungen auf der Registerkarte Verwaltung . Mit diesem Kontrollkästchen können Sie das Standardverhalten der Systemeinstellungen für eine einzelne Protokollquelle überschreiben.