مرجع مخطط تسوية جلسة عمل ويب لنموذج معلومات الأمان المتقدمة (ASIM) (معاينة عامة)

  • مقالة
  • قراءة خلال 9 دقائق

يتم استخدام مخطط تسوية جلسة ويب لوصف نشاط شبكة IP. على سبيل المثال، يتم الإبلاغ عن أنشطة شبكة IP بواسطة خوادم الويب ووكلاء الويب وبوابات أمان الويب.

لمزيد من المعلومات حول التطبيع في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).

هام

مخطط تسوية الشبكة قيد المعاينة حاليا. يتم توفير هذه الميزة دون اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال عمل الإنتاج.

تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.

نظرة عامة على المخطط

يمثل مخطط تسوية جلسة ويب أي جلسة عمل شبكة HTTP، وهو مناسب بشكل خاص لتوفير الدعم للأنووع الشائعة للمصادر، بما في ذلك:

  • خوادم الويب
  • وكلاء الويب
  • بوابات أمان الويب

يمثل مخطط جلسة ويب ASIM نشاط بروتوكول HTTP وHTTPS. نظرا لأن المخطط يمثل نشاط البروتوكول، فإنه يخضع ل RFCs وقوائم المعلمات المعينة رسميا، والتي يشار إليها في هذه المقالة عند الاقتضاء.

لا يمثل مخطط جلسة ويب أحداث التدقيق من الأجهزة المصدر. على سبيل المثال، لا يمكن تمثيل حدث يقوم بتعديل نهج بوابة أمان ويب بواسطة مخطط جلسة عمل ويب.

نظرا لأن جلسات عمل HTTP هي جلسات عمل طبقة التطبيق التي تستخدم TCP/IP كجلسة عمل طبقة الشبكة الأساسية، فإن مخطط جلسة عمل الويب هو مجموعة فائقة من مخطط جلسة عمل شبكة ASIM.

أهم الحقول في مخطط جلسة ويب هي:

  • Url، الذي يبلغ عن عنوان URL الذي طلبه العميل من الخادم.
  • SrcIpAddr (المستعار إلى IpAddr)، والذي يمثل عنوان IP الذي تم إنشاء الطلب منه.
  • EventResultDetails، الذي يبلغ عن رمز حالة HTTP.

قد تتضمن أحداث جلسة ويب أيضا معلومات المستخدموالعملية للمستخدم والعملية التي تبدأ الطلب.

موزعي

لمزيد من المعلومات حول محللات ASIM، راجع نظرة عامة على محللات ASIM.

توحيد المحللات

لاستخدام المحللات التي تعمل على توحيد جميع محللات ASIM الجاهزة، والتأكد من أن التحليل الخاص بك يعمل عبر جميع المصادر المكونة، استخدم _Im_WebSession محلل التصفية أو _ASim_WebSession محلل المعلمات الأقل.

يمكنك أيضا استخدام أدوات تحليل ومساحة ASimWebSession العمل المنشورة ImWebSession عن طريق نشرها من مستودع GitHub Microsoft Sentinel. لمزيد من المعلومات، راجع محللات ASIM المضمنة والموزعة في مساحة العمل.

محللات خارج الصندوق ومخصصة للمصدر

للحصول على قائمة محللات جلسة ويب يوفر Microsoft Sentinel إشارة خارج الصندوق إلى قائمة محللات ASIM

إضافة محللاتك التي تمت تسويتها

عند تنفيذ تحليلات مخصصة لنموذج معلومات جلسة ويب، قم بتسمية وظائف KQL باستخدام بناء الجملة التالي:

  • vimWebSession<vendor><Product> لل parmetrized parsers
  • ASimWebSession<vendor><Product> للموزعين العاديين

تصفية معلمات المحلل

im يدعم المحللان و vim*معلمات التصفية. في حين أن هذه المحللات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.

تتوفر معلمات التصفية التالية:

الاسم النوع الوصف
وقت البدء datetime تصفية جلسات عمل ويب التي بدأت في هذا الوقت أو بعده فقط.
وقت الانتهاء datetime تصفية جلسات عمل ويب التي بدأت العمل في هذا الوقت أو قبله فقط.
srcipaddr_has_any_prefix ديناميكي تصفية جلسات عمل ويب فقط التي تكون بادئة حقل عنوان IP المصدر لها في إحدى القيم المدرجة. لاحظ أن قائمة القيم يمكن أن تتضمن عناوين IP بالإضافة إلى بادئات عناوين IP. يجب أن تنتهي البادئات ب .، على سبيل المثال: 10.0.. يقتصر طول القائمة على 10,000 عنصر.
ipaddr_has_any_prefix ديناميكي تصفية جلسات عمل الشبكة التي يكون حقل عنوان IP الوجهة أو بادئة حقل عنوان IP المصدر لها في إحدى القيم المدرجة. يجب أن تنتهي البادئات ب .، على سبيل المثال: 10.0.. يقتصر طول القائمة على 10,000 عنصر.

يتم تعيين الحقل ASimMatchingIpAddr بإحدى القيم SrcIpAddrأو DstIpAddrأو Both لتعكس الحقول أو الحقول المطابقة.
url_has_any ديناميكي تصفية جلسات عمل ويب فقط التي يحتوي حقل URL على أي من القيم المدرجة فيها. إذا تم تحديدها، ولم تكن جلسة العمل على الويب، فلن يتم إرجاع أي نتيجة. يقتصر طول القائمة على 10,000 عنصر.
httpuseragent_has_any ديناميكي تصفية جلسات عمل الويب التي يحتوي حقل عامل المستخدم على أي من القيم المدرجة لها فقط. إذا تم تحديدها، ولم تكن جلسة العمل على الويب، فلن يتم إرجاع أي نتيجة. يقتصر طول القائمة على 10,000 عنصر.
eventresultdetails_in ديناميكي تصفية جلسات الويب التي يكون رمز حالة HTTP الخاص بها، المخزن في حقل EventResultDetails ، هو أي من القيم المدرجة.
eventresult سلسلة تصفية جلسات عمل الشبكة فقط بقيمة EventResult معينة.

على سبيل المثال، لتصفية جلسات عمل ويب فقط لقائمة محددة من أسماء المجالات، استخدم:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co",...]);
_Im_WebSession (url_has_any = torProxies)

تلميح

لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم حرفيا ديناميكيا بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.']).

تفاصيل المخطط

يتم محاذاة نموذج معلومات جلسة ويب مع مخطط كيان شبكة OSSEMومخطط كيان OSSEM HTTP.

للتوافق مع أفضل ممارسات الصناعة، يستخدم مخطط Web Session واصفات SrcوDst لتحديد مصدر الجلسة وأجهزة الوجهة، دون تضمين Dvc الرمز المميز في اسم الحقل.

لذلك، على سبيل المثال، يسمى اسم مضيف الجهاز المصدر وعنوان IP SrcHostnameوSrcIpAddr على التوالي، وليس SrcDvcHostnameوSrcDvcIpAddr. يتم استخدام البادئة Dvc فقط لجهاز التقارير أو الوسيط، حسب الاقتضاء.

تستخدم الحقول التي تصف المستخدم والتطبيق المرتبطين بأجهزة المصدر والوجهة أيضا واصفات SrcوDst .

عادة ما تستخدم مخططات ASIM الأخرى الهدف بدلا من Dst.

حقول ASIM الشائعة

هام

يتم وصف الحقول الشائعة لكافة المخططات بالتفصيل في مقالة الحقول الشائعة ASIM .

الحقول المشتركة مع إرشادات محددة

تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث جلسة ويب:

الحقل الفصل النوع الوصف
نوع الحدث إلزامي تعداد يصف العملية التي أبلغ عنها السجل ويجب تعيينها إلى HTTPsession.
EventResult إلزامي تعداد يصف نتيجة الحدث، التي تمت تسويتها إلى إحدى القيم التالية:
- Success
- Partial
- Failure
- NA (غير قابل للتطبيق)

بالنسبة لجلسة عمل HTTP، Success يتم تعريفها على أنها رمز حالة أقل من 400، ويتم Failure تعريفها على أنها رمز حالة أعلى من 400. للحصول على قائمة رموز حالة HTTP، راجع W3 Org.

قد يوفر المصدر قيمة فقط لحقل EventResultDetails ، والذي يجب تحليله للحصول على قيمة EventResult .
EventResultDetails إلزامي سلسلة بالنسبة لجلسات عمل HTTP، يجب أن تكون القيمة رمز حالة HTTP.

ملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. يجب تخزين القيمة الأصلية في حقل EventOriginalResultDetails .
EventSchema إلزامي سلسلة اسم المخطط الموثق هنا هو WebSession.
EventSchemaVersion إلزامي سلسلة إصدار المخطط. إصدار المخطط الموثق هنا هو 0.2.3
حقول Dvc بالنسبة لأحداث جلسة عمل الويب، تشير حقول الجهاز إلى النظام الذي يبلغ عن حدث جلسة عمل ويب.

كافة الحقول الشائعة

الحقول التي تظهر في الجدول أدناه شائعة في جميع مخططات ASIM. أي إرشادات محددة أعلاه تتجاوز الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريا بشكل عام، ولكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع مقالة الحقول المشتركة ASIM .

الفصل الحقول
إلزامي - عدد الأحداث
- EventStartTime
- EventEndTime
- نوع الحدث
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
المستحسنة - EventResultDetails
- قطع الأحداث
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- معرف Dvc
- نوع DvcIdType
- DvcAction
‏‏اختياري - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- حقول إضافية
- DvcDescription

حقول جلسة عمل الشبكة

جلسات HTTP هي جلسات عمل طبقة التطبيق التي تستخدم TCP/IP كجلسة عمل طبقة الشبكة الأساسية. مخطط جلسة عمل ويب هو مجموعة فائقة من مخطط جلسة عمل شبكة ASIM ويتم أيضا تضمين كافة حقول جلسة عمل الشبكة في مخطط جلسة عمل ويب.

تحتوي حقول مخطط جلسة عمل شبكة ASIM التالية على إرشادات محددة عند استخدامها لحدث جلسة عمل ويب:

  • يجب أن يشير الاسم المستعار المستخدم إلى SrcUsername وليس إلى DstUsername.
  • يمكن أن يحتوي الحقل EventOriginalResultDetails على أي نتيجة تم الإبلاغ عنها بواسطة المصدر بالإضافة إلى رمز حالة HTTP المخزن في EventResultDetails.
  • بالنسبة لجلسات عمل الويب، يكون حقل الوجهة الأساسي هو حقل Url. DstDomain اختياري بدلا من مستحسن. على وجه التحديد، إذا لم يكن متوفرا، ليست هناك حاجة لاستخراجه من عنوان URL في المحلل.

حقول الأجهزة الوسيطة

يتم الإبلاغ عن أحداث جلسة عمل الويب عادة بواسطة الأجهزة الوسيطة التي تنهي اتصال HTTP من العميل وبدء اتصال جديد، يعمل كوكيل، مع الخادم. لتمثيل الجهاز الوسيط، استخدم حقول الجهاز المثيل لجلسة عمل شبكة ASIM

حقول جلسة عمل HTTP

فيما يلي حقول إضافية خاصة بجلسات عمل الويب:

الحقل الفصل النوع الوصف
Url إلزامي سلسلة عنوان URL الكامل لطلب HTTP، بما في ذلك المعلمات.

مثال: https://contoso.com/fo/?k=v&amp;q=u#f
UrlCategory ‏‏اختياري سلسلة التجميع المحدد لعنون URL أو جزء المجال من عنوان URL. عادة ما يتم توفير الفئة بواسطة بوابات أمان الويب وتعتمد على محتوى الموقع الذي يشير إليه عنوان URL.

مثال: محركات البحث والكبار والأخبار والإعلانات والمجالات المتوقفة.
UrlOriginal ‏‏اختياري سلسلة القيمة الأصلية لعنون URL، عندما تم تعديل عنوان URL بواسطة جهاز إعداد التقارير ويتم توفير كلتا القيمتين.
HttpVersion ‏‏اختياري سلسلة إصدار طلب HTTP.

مثال: 2.0
HttpRequestMethod المستحسنة تعداد أسلوب HTTP. يتم تعريف القيم في RFC 7231وRFC 5789، وتتضمن GETDELETEHEADPUTPATCHPOSTCONNECTOPTIONSTRACEو.

مثال: GET
HttpStatusCode الاسم المستعار رمز حالة HTTP. اسم مستعار ل EventResultDetails.
نوع HttpContentType ‏‏اختياري سلسلة عنوان نوع محتوى استجابة HTTP.

ملاحظة: قد يتضمن حقل HttpContentType تنسيق المحتوى والمعلمات الإضافية، مثل الترميز المستخدم للحصول على التنسيق الفعلي.

مثال: text/html; charset=ISO-8859-4
تنسيق HttpContent ‏‏اختياري سلسلة جزء تنسيق المحتوى من HttpContentType

مثال: text/html
HttpReferrer ‏‏اختياري سلسلة عنوان محيل HTTP.

ملاحظة: تستخدم ASIM، متزامنة مع OSSEM، التدقيق الإملائي الصحيح للمحيل، وليس التدقيق الإملائي الأصلي لعنوان HTTP.

مثال: https://developer.mozilla.org/docs
HttpUserAgent ‏‏اختياري سلسلة عنوان عامل مستخدم HTTP.

مثال:
Mozilla/5.0(Windows NT 10.0; WOW64)
AppleWebKit/537.36 (KHTML، مثل Gecko)
Chrome/83.0.4103.97 Safari/537.36
وكيل المستخدم الاسم المستعار الاسم المستعار ل HttpUserAgent
HttpRequestXff ‏‏اختياري هذا عنوان IP عنوان HTTP X-Forwarded-For.

مثال: 120.12.41.1
HttpRequestTime ‏‏اختياري عدد صحيح مقدار الوقت، بالمللي ثانية، استغرق إرسال الطلب إلى الخادم، إن أمكن.

مثال: 700
HttpResponseTime ‏‏اختياري عدد صحيح مقدار الوقت، بالمللي ثانية، استغرق تلقي استجابة في الخادم، إن أمكن.

مثال: 800
اسم الملف ‏‏اختياري سلسلة بالنسبة لتحميلات HTTP، اسم الملف الذي تم تحميله.
FileMD5 ‏‏اختياري MD5 بالنسبة لتحميلات HTTP، تجزئة MD5 للملف الذي تم تحميله.

مثال: 75a599802f1fa166cdadb360960b1dd0
FileSHA1 ‏‏اختياري SHA1 بالنسبة لتحميلات HTTP، تجزئة SHA1 للملف الذي تم تحميله.

مثال:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
FileSHA256 ‏‏اختياري SHA256 بالنسبة لتحميلات HTTP، تجزئة SHA256 للملف الذي تم تحميله.

مثال:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
FileSHA512 ‏‏اختياري SHA512 بالنسبة لتحميلات HTTP، تجزئة SHA512 للملف الذي تم تحميله.
التجزئه الاسم المستعار اسم مستعار لحقل التجزئة المتوفر.
نوع الملف ‏‏اختياري تعداد نوع التجزئة في حقل التجزئة . تتضمن القيم المحتملة: MD5و SHA256SHA1و و.SHA512
حجم الملفات ‏‏اختياري عدد صحيح بالنسبة لتحميلات HTTP، حجم وحدات البايت للملف الذي تم تحميله.
FileContentType ‏‏اختياري سلسلة بالنسبة لتحميلات HTTP، نوع محتوى الملف الذي تم تحميله.
اسم القاعدة ‏‏اختياري سلسلة اسم أو معرف القاعدة التي تم اتخاذ قرار بشأنها DvcAction .

مثال: AnyAnyDrop
رقم القاعدة ‏‏اختياري عدد صحيح عدد القاعدة التي تم اتخاذ قرار بشأنها DvcAction .

مثال: 23
‏‏قاعدة إلزامي سلسلة إما ⁧NetworkRuleName⁩ أو ⁧NetworkRuleNumber
معرف التهديد ‏‏اختياري سلسلة معرف التهديد أو البرامج الضارة المحددة في جلسة عمل ويب.

مثال: Tr.124
اسم التهديد ‏‏اختياري سلسلة اسم التهديد أو البرامج الضارة المحددة في جلسة ويب.

مثال: EICAR Test File
عدد المخاطر ‏‏اختياري سلسلة فئة التهديد أو البرامج الضارة المحددة في جلسة ويب.

مثال: Trojan
ThreatRiskLevel ‏‏اختياري عدد صحيح مستوى المخاطر المقترن بجلسة العمل. يجب أن يكون المستوى رقما بين 0و100.

ملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مقياس مختلف، والذي يجب تسويته إلى هذا المقياس. يجب تخزين القيمة الأصلية في ThreatRiskLevelOriginal.
ThreatRiskLevelOriginal ‏‏اختياري سلسلة مستوى المخاطر كما تم الإبلاغ عنه من قبل جهاز إعداد التقارير.

حقول أخرى

إذا تم الإبلاغ عن الحدث بواسطة إحدى نقاط النهاية لجلسة عمل الويب، فقد يتضمن معلومات حول العملية التي بدأت الجلسة أو أنهتها. في مثل هذه الحالات، مخطط حدث عملية ASIM لتطبيع هذه المعلومات.

تحديثات المخطط

يعتمد مخطط جلسة عمل ويب على مخطط جلسة عمل الشبكة. لذلك، تنطبق تحديثات مخطط جلسة الشبكة على مخطط جلسة ويب أيضا. تم تحديث إصدار مخطط WebSession ليعكس ذلك.

الخطوات التالية

لمزيد من المعلومات، انظر: