Opzioni di configurazione del protocollo DHCP Microsoft

Per ricevere gli eventi dai server Microsoft DHCP, configurare una fonte di log per utilizzare il protocollo Microsoft DHCP.

Il protocollo Microsoft DHCP è un protocollo in uscita attivo.

Per leggere i file di log, i percorsi delle cartelle che contengono una condivisione amministrativa (C$), richiedono privilegi NetBIOS sulla condivisione amministrativa (C$). Gli amministratori locali o di dominio dispongono di privilegi sufficienti per accedere ai file di log sulle condivisioni amministrative.

I campi per il protocollo Microsoft DHCP che supportano i percorsi dei file consentono agli amministratori di definire una lettera drive con le informazioni sul percorso. Ad esempio, il campo può contenere la directory c$/LogFiles/ per una condivisione di gestione o la directory LogFiles/ per un percorso di cartella di condivisione pubblica, ma non può contenere la directory c:/LogFiles .

Limitazione: Il protocollo di autenticazione Microsoft NTLMv2 non è supportato dal protocollo Microsoft DHCP.

Nota: Per ulteriori informazioni sull'installazione di SMB Trail e dei protocolli dipendenti, vedere Installazione di SMB Tail e del protocollo dipendente.

La seguente tabella descrive i parametri specifici del protocollo per il protocollo Microsoft DHCP:

Tabella 1. Parametri di protocollo Microsoft DHCP
Parametro	Descrizione
Configurazione protocollo	Microsoft DHCP
Identificativo origine log	Digitare un nome host univoco o altro identificativo univoco per l'origine log.
Indirizzo server	L'indirizzo IP o il nome host del tuo server Microsoft DHCP.
Dominio	Digitare il dominio per il tuo server Microsoft DHCP. Questo parametro è facoltativo se il tuo server non è in un dominio.
Nome utente	Digitare il nome utente necessario per accedere al server DHCP.
Password	Digitare la password necessaria per accedere al server DHCP.
Conferma password	Digitare la password necessaria per accedere al server.
Percorso della cartella	Il percorso di directory nei file di log DHCP. Il valore predefinito è `/WINDOWS/system32/dhcp/`
Pattern file	L'espressione regolare (regex) che identifica i log degli eventi. I file di log devono contenere un'abbreviazione di tre caratteri per un giorno della settimana. Utilizzare uno dei seguenti modelli di file: Italiano: IPv4 IPv4: `DhcpSrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. Modello file IPv6 : `DhcpV6SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. Modello di file IPv4 e IPv6 misto: `Dhcp.*SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. Polacco: Modello file IPv4 : `DhcpSrvLog-(?:Pią\|Pon\|Sob\|Wto\|Śro\|Czw\|Nie)\.log` Modello file IPv6 : `DhcpV6SrvLog-(?:Pt\|Pon\|So\|Wt\|Śr\|Czw\|Nie)\.log`
Ricorsivo	Selezionare questa opzione se si desidera che lo schema di file ricerca le sottocartelle.
Versione SMB	Selezionare la versione di SMB che si desidera utilizzare. AUTO Auto - rileva la versione più alta che il client e il server accettano di utilizzare. SMB1 Costringe l'uso di SMB1. SMB1 utilizza il file jCIFS.jar (Java™ ARchive). Importante: SMB1 non è più supportato. Tutti gli amministratori devono aggiornare le configurazioni esistenti per utilizzare SMB2 o SMB3. SMB2 Costringe l'uso di SMB2. SMB2 usa il file jNQ.jar . SMB3 Costringe l'uso di SMB3. SMB3 utilizza il file jNQ.jar . Nota: Prima di creare un'origine log con una versione SMB specifica (ad esempio: SMBv1, SMBv2e SMBv3), assicurarsi che la versione SMB specificata sia supportata dall'OS di Windows in esecuzione sul proprio server. È inoltre necessario verificare che le versioni SMB siano abilitate sul Windows Server specificato. Per ulteriori informazioni sulle versioni di Windows che supportano le versioni SMB, visitare il sito Web di Microsoft TechNet ( https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ). Per ulteriori informazioni su come rilevare, attivare e disattivare SMBv1, SMBv2 e SMBv3 in Windows e Windows Server, consultare il sito Web del supporto Microsoft ( https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server ).
Intervallo di polling (in secondi)	Il numero di secondi tra le query ai file di log per verificare nuovi dati. L'intervallo minimo di polling è di 10 seconds minuti. L'intervallo di polling massimo è di 3.600 seconds minuti.
Eventi di rottola / sec	Il numero massimo di eventi che il protocollo DHCP può inoltrare al secondo. Il valore minimo è di 100 EPS. Il valore massimo è di 20.000 EPS.
Codifica dei file	La codifica dei caratteri utilizzata dagli eventi nel tuo file di log.
Elenco di esclusione file	Un elenco di espressioni regolari che impediscono l'apertura di determinate directory di file. L'elenco include un'espressione regolare per riga. Quando un file o una directory corrisponde a una delle espressioni regolari, tale file o directory non viene aperto. Quando un file è in uso, altre applicazioni potrebbero non essere in grado di utilizzarlo. Utilizzare questo parametro per impedire il blocco di tali file o per impedire al protocollo di accedere a file specifici. Il modello non si applica al percorso della cartella completo. Si applica solo alla directory finale elencata nel percorso. Il modello si applica a tutti i file o directory che si trovano all'interno della directory del percorso della cartella. Il seguente elenco è il valore predefinito per questo parametro: `/j50.*\.log` `dhcp\.mdb` `dhcp\.tmp` `j50\.chk`.
Abilitato	Quando questa opzione non è abilitata, l'origine log non raccoglie gli eventi e la sorgente log non viene conteggiata nel limite di licenza.
Affidabilità	La credibilità è una rappresentazione dell'integrità o della validità degli eventi che vengono creati da una sorgente log. Il valore di credibilità assegnato ad una sorgente log può aumentare o diminuire in base agli eventi in entrata o aggiustato come risposta alle regole di eventi create dall'utente. L'affidabilità degli eventi dalle origini log contribuisce al calcolo della grandezza dell'offensiva e può aumentare o ridurre il valore di grandezza di un'offensiva.
Raccoglitore eventi di destinazione	Specifica il raccoglitore eventi QRadar che esegue il polling dell'origine log remota. Utilizzare questo parametro in una distribuzione distribuita per migliorare le prestazioni del sistema Console spostando l'attività di polling in un Raccoglitore Eventi.
Eventi di unione	Aumenta il conteggio degli eventi quando lo stesso evento si verifica più volte all'interno di un intervallo di tempo breve. Gli eventi coalescenti forniscono un modo per visualizzare e determinare la frequenza con cui si verifica un singolo tipo di evento sulla scheda Attività di registrazione . Quando questa casella di controllo è chiara, gli eventi vengono visualizzati singolarmente e gli eventi non vengono raggruppati. Le origini log nuove e automaticamente rilevate ereditano il valore di questa casella di controllo dalla configurazione Impostazioni di sistema nella scheda Admin . È possibile utilizzare questa casella di controllo per sovrascrivere il funzionamento predefinito delle impostazioni di sistema per una singola origine log.