Az Advanced Security Information Model (ASIM) webes munkamenet normalizálási sémájának referenciája (nyilvános előzetes verzió)
A webes munkamenet normalizálási sémája egy IP-hálózati tevékenység leírására szolgál. Az IP-hálózati tevékenységeket például webkiszolgálók, webes proxyk és webes biztonsági átjárók jelentik.
A Microsoft Sentinel normalizálásáról további információt a Normalizálás és az Advanced Security Information Model (ASIM) című témakörben talál.
Fontos
A hálózat normalizálási sémája jelenleg előzetes verzióban érhető el. Ez a szolgáltatás szolgáltatásiszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott.
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A séma áttekintése
A webes munkamenet normalizálási sémája bármely HTTP-hálózati munkamenetet jelöl, és alkalmas a gyakori forrástípusok, például a következők támogatására:
- Webkiszolgálók
- Webes proxyk
- Webes biztonsági átjárók
Az ASIM webes munkamenet sémája a HTTP- és HTTPS-protokolltevékenységeket jelöli. Mivel a séma protokolltevékenységet jelöl, az RFC-k és a hivatalosan hozzárendelt paraméterlisták szabályozzák, amelyekre szükség esetén hivatkozunk ebben a cikkben.
A webes munkamenet sémája nem jelöli a forráseszközökről származó naplózási eseményeket. A webes biztonsági átjáró házirendet módosító eseményeket például nem tudja a webes munkamenet sémája ábrázolni.
Mivel a HTTP-munkamenetek olyan alkalmazásréteg-munkamenetek, amelyek a TCP/IP-t használják alapul szolgáló hálózati réteg-munkamenetként, a webes munkamenet sémája az ASIM hálózati munkamenet sémájának szuperkészlete.
A webes munkamenet sémájának legfontosabb mezői a következők:
- Url, amely az ügyfél által a kiszolgálótól kért URL-címet jelenti.
- A SrcIpAddr ( ipAddr aliasnévvel), amely azt az IP-címet jelöli, amelyből a kérés létrejött.
- EventResultDetails mező, amely általában a HTTP állapotkódját jelenti.
A webes munkamenet eseményei közé tartozhatnak a felhasználó felhasználó - és folyamatadatai , valamint a kérés kezdeményezésének folyamata is.
Elemzők
Az ASIM-elemzőkkel kapcsolatos további információkért tekintse meg az ASIM-elemzők áttekintését.
Elemzők egyesítése
Ha olyan elemzőket szeretne használni, amelyek egyesítik az összes beépített ASIM-elemzőt, és biztosítják, hogy az elemzés az összes konfigurált forrásban fusson, használja a _Im_WebSession
szűrőelemzőt vagy a _ASim_WebSession
paraméter nélküli elemzőt.
A munkaterületen üzembe helyezett ImWebSession
és ASimWebSession
elemzőket is használhatja a Microsoft Sentinel GitHub-adattárból történő üzembe helyezéssel. További információkért lásd a beépített ASIM-elemzőket és a munkaterületen üzembe helyezett elemzőket.
Beépített, forrásspecifikus elemzők
A Webes munkamenet elemzőinek listájáért a Microsoft Sentinel a beépített ASIM-elemzők listájára hivatkozik
Saját normalizált elemzők hozzáadása
Amikor egyéni elemzőket implementál a webes munkamenet információs modelljéhez, nevezze el a KQL-függvényeket az alábbi szintaxissal:
vimWebSession<vendor><Product>
parametrizált elemzőkhözASimWebSession<vendor><Product>
normál elemzőkhöz
Szűrőelemző paraméterei
A im
és vim*
az elemző támogatja a szűrési paramétereket. Bár ezek az elemzők nem kötelezőek, javíthatják a lekérdezési teljesítményt.
A következő szűrési paraméterek érhetők el:
Név | Típus | Description |
---|---|---|
starttime | dátum/idő | Szűrjön csak azokat a webes munkameneteket, amelyek ekkor vagy azt követően kezdődtek . |
endtime | dátum/idő | Szűrjön csak azokat a webes munkameneteket, amelyek ekkor vagy azt megelőzően kezdődtek . |
srcipaddr_has_any_prefix | dinamikus | Csak azokat a webes munkameneteket szűrje, amelyek forrás IP-címmezőjének előtagja a felsorolt értékek egyikében található. Az értékek listája ip-címeket és IP-címelőtagokat tartalmazhat. Az előtagoknak a . következővel kell végződnie: 10.0. . A lista hossza legfeljebb 10 000 elem lehet. |
ipaddr_has_any_prefix | dinamikus | Csak azokat a hálózati munkameneteket szűrje, amelyek cél IP-címmezője vagy forrás IP-címmező-előtagja a felsorolt értékek egyikében található. Az előtagoknak a . következővel kell végződnie: 10.0. . A lista hossza legfeljebb 10 000 elem lehet.Az ASimMatchingIpAddr mező a , DstIpAddr vagy Both értékekkel SrcIpAddr van beállítva, hogy tükrözze az egyező mezőket vagy mezőket. |
url_has_any | dinamikus | Csak azokat a webes munkameneteket szűrje, amelyek URL-címmezője a felsorolt értékek bármelyikével rendelkezik. Az elemző figyelmen kívül hagyhatja a paraméterként átadott URL-cím sémáját, ha a forrás nem jelenti azt. Ha meg van adva, és a munkamenet nem webes munkamenet, a rendszer nem ad vissza eredményt. A lista hossza legfeljebb 10 000 elem lehet. |
httpuseragent_has_any | dinamikus | Csak azokat a webes munkameneteket szűrje, amelyeknél a felhasználói ügynök mezője a felsorolt értékek bármelyikével rendelkezik. Ha meg van adva, és a munkamenet nem webes munkamenet, a rendszer nem ad vissza eredményt. A lista hossza legfeljebb 10 000 elem lehet. |
eventresultdetails_in | dinamikus | Csak olyan webes munkamenetek szűrése, amelyeknél az EventResultDetails mezőben tárolt HTTP-állapotkód a felsorolt értékek bármelyike. |
eventresult | sztring | Csak a megadott EventResult értékkel rendelkező hálózati munkamenetek szűrése. |
Egyes paraméterek elfogadhatják a típusértékek dynamic
listáját vagy egyetlen sztringértéket. Ha egy konstanslistát dinamikus értéket váró paramétereknek szeretne átadni, explicit módon használjon dinamikus literált. Például: dynamic(['192.168.','10.'])
Ha például csak a webes munkameneteket szeretné szűrni a megadott tartománynevek listájára, használja a következőt:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Séma részletei
A webes munkamenet-információs modell az OSSEM Network entitássémához és az OSSEM HTTP-entitássémához van igazítva.
Az iparági ajánlott eljárásoknak való megfelelés érdekében a webes munkamenet sémája az Src és a Dst leírókat használja a munkamenet forrás- és céleszközeinek azonosítására anélkül, hogy a dvc jogkivonatot felvennénk a mezőnévbe.
Így például a forráseszköz gazdaneve és IP-címe neve SrcHostname és SrcIpAddr , nem pedig SrcDvcHostname és SrcDvcIpAddr. A Dvc előtag csak a jelentéskészítéshez vagy a köztes eszközhöz használható, adott esetben.
A forrás- és céleszközökhöz társított felhasználót és alkalmazást leíró mezők az Src és a Dst leírókat is használják.
Más ASIM-sémák általában a Target (Cél ) függvényt használják a Dst helyett.
Gyakori ASIM-mezők
Fontos
Az összes sémában közös mezők részletes leírását az ASIM Közös mezők című cikkben találja.
Általános mezők konkrét irányelvekkel
Az alábbi lista azokat a mezőket sorolja fel, amelyek a webes munkamenet eseményeire vonatkozó irányelvekkel rendelkeznek:
Mező | Osztály | Típus | Description |
---|---|---|---|
EventType | Kötelező | Enumerated | A rekord által jelentett műveletet ismerteti. Az engedélyezett értékek a következők: - HTTPsession : A HTTP-hez vagy HTTPS-hez használt hálózati munkamenetet jelöli, amelyet általában egy közvetítő eszköz, például egy proxy vagy egy webes biztonsági átjáró jelent.- WebServerSession : Egy webkiszolgáló által jelentett HTTP-kérést jelöl. Egy ilyen esemény általában kevesebb hálózati információval rendelkezik. A jelentett URL-cím nem tartalmazhat sémát és kiszolgálónevet, csak az URL elérési útját és paramétereit. - ApiRequest : Egy API-híváshoz társított HTTP-kérést jelöl, amelyet általában egy alkalmazáskiszolgáló jelent. Egy ilyen esemény általában kevesebb hálózati információval rendelkezik. Amikor az alkalmazáskiszolgáló jelenti, a jelentett URL-cím nem tartalmazhat sémát és kiszolgálónevet, hanem csak az URL elérési útját és paramétereit. |
EventResult | Kötelező | Enumerated | Az alábbi értékek egyikére normalizált eseményeredményt írja le: - Success - Partial - Failure - NA (nem alkalmazható)HTTP-munkamenet esetén a értéknél alacsonyabb állapotkódként van definiálva, Success és Failure a értéknél 400 400 magasabb állapotkódként van definiálva. A HTTP-állapotkódok listáját a W3 Szervezet című témakörben találja.A forrás csak az EventResultDetails mező értékét adja meg, amelyet elemezni kell az EventResult érték lekéréséhez. |
EventResultDetails | Ajánlott | Sztring | A HTTP-állapotkód. Megjegyzés: Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti értéket az EventOriginalResultDetails mezőben kell tárolni. |
EventSchema | Kötelező | Sztring | Az itt dokumentált séma neve.WebSession |
EventSchemaVersion | Kötelező | Sztring | A séma verziója. Az itt dokumentált séma verziója a következő: 0.2.6 |
Dvc mezők | Webes munkamenetesemények esetén az eszközmezők a webmunkamenet eseményt jelentési rendszerre hivatkoznak. Ez általában egy közbenső eszköz az eseményekhezHTTPSession , valamint a cél web- vagy alkalmazáskiszolgálóhoz és ApiRequest eseményekhezWebServerSession . |
Minden gyakori mező
Az alábbi táblázatban megjelenő mezők az összes ASIM-sémára jellemzőek. A fent megadott irányelvek felülbírálják a mező általános irányelveit. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további részletekért tekintse meg az ASIM Common Fields (ASIM common fields) című cikket.
Osztály | Mezők |
---|---|
Kötelező | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
Ajánlott | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
Választható | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - További mezők - DvcDescription - DvcScopeId - DvcScope |
Hálózati munkamenet mezői
A HTTP-munkamenetek olyan alkalmazásréteg-munkamenetek, amelyek a TCP/IP protokollt használják a mögöttes hálózati réteg munkameneteként. A webes munkamenet sémája az ASIM hálózati munkamenet sémájának szuperkészlete, és az összes hálózati sémamező is szerepel a webes munkamenet sémájában.
A következő ASIM hálózati munkamenet sémamezői speciális irányelveket tartalmaznak a webmunkamenet-eseményekhez való használathoz:
- A felhasználó aliasnak a SrcUsername névre kell hivatkoznia, nem pedig a DstUsername névre.
- Az EventOriginalResultDetails mező az EventResultDetailsben tárolt HTTP-állapotkódon kívül a forrás által jelentett eredményeket is tárolhatja.
- Webes munkamenetek esetén az elsődleges célmező az URL-mező. A DstDomain nem ajánlott, hanem választható. Pontosabban, ha nem érhető el, nem kell kinyerni az elemző URL-címéből.
- A mezők
NetworkRuleName
ésNetworkRuleNumber
a neveRuleName
ésRuleNumber
a neve.
A webes munkameneteseményeket általában olyan köztes eszközök jelentik, amelyek megszakítják a HTTP-kapcsolatot az ügyféllel, és új, proxyként működő kapcsolatot kezdeményeznek a kiszolgálóval. A köztes eszköz ábrázolásához használja az ASIM hálózati munkamenetsémaKöztes eszköz mezőit
HTTP-munkamenet mezői
Az alábbiakban további, a webes munkamenetekre jellemző mezők találhatók:
Mező | Osztály | Típus | Description |
---|---|---|---|
Url | Kötelező | Sztring | A HTTP-kérelem URL-címe, beleértve a paramétereket is. Események esetén HTTPSession az URL-cím tartalmazhatja a sémát, és tartalmaznia kell a kiszolgáló nevét. Az WebServerSession URL-címhez ApiRequest általában nem tartozik a séma és a kiszolgáló, amely a és DstFQDN a NetworkApplicationProtocol mezőben található. Például: https://contoso.com/fo/?k=v&q=u#f |
UrlCategory | Választható | Sztring | Az URL-cím vagy az URL-cím tartományrészének definiált csoportosítása. A kategóriát általában a webes biztonsági átjárók biztosítják, és annak a webhelynek a tartalmán alapul, amelyre az URL-cím mutat. Például: keresőmotorok, felnőtt, hírek, hirdetések és parkolt tartományok. |
UrlOriginal | Választható | Sztring | Az URL eredeti értéke, amikor a jelentéskészítő eszköz módosította az URL-címet, és mindkét érték meg van adva. |
HttpVersion | Választható | Sztring | A HTTP-kérelem verziója. Például: 2.0 |
HttpRequestMethod | Ajánlott | Enumerated | A HTTP-metódus. Az értékek az RFC 7231-ben és az RFC 5789-ben vannak definiálva, és tartalmazzák a következőt: GET , HEAD , POST , PUT DELETE , CONNECT , , OPTIONS TRACE és PATCH .Például: GET |
HttpStatusCode | Alias | A HTTP-állapotkód. Alias az EventResultDetailshez. | |
HttpContentType | Választható | Sztring | A HTTP-válasz tartalomtípus fejléce. Megjegyzés: A HttpContentType mező tartalmazhat tartalomformátumot és további paramétereket is, például a tényleges formátum lekéréséhez használt kódolást. Például: text/html; charset=ISO-8859-4 |
HttpContentFormat | Választható | Sztring | A HttpContentType tartalomformátum része Például: text/html |
HttpReferrer | Választható | Sztring | A HTTP-hivatkozó fejléc. Megjegyzés: Az ASIM az OSSEM-sel szinkronban a megfelelő helyesírást használja a hivatkozóhoz, nem pedig az eredeti HTTP-fejléc helyesírását. Például: https://developer.mozilla.org/docs |
HttpUserAgent | Választható | Sztring | A HTTP-felhasználói ügynök fejléce. Példa: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, például Gecko)Chrome/83.0.4103.97 Safari/537.36 |
Useragent | Alias | Alias a HttpUserAgenthez | |
HttpRequestXff | Választható | IP-cím | A HTTP X-Forwarded-for fejléc. Például: 120.12.41.1 |
HttpRequestTime | Választható | Egész szám | Ezredmásodpercben meg kell adni a kérést a kiszolgálónak, ha van ilyen. Például: 700 |
HttpResponseTime | Választható | Egész szám | Ezredmásodpercben meg kellett kapnia a választ a kiszolgálón, ha van ilyen. Például: 800 |
HttpHost | Választható | Sztring | A HTTP-kérés által megcélzott virtuális webkiszolgáló. Ez az érték általában a HTTP-gazdagép fejlécén alapul. |
Fájlnév | Választható | Sztring | HTTP-feltöltések esetén a feltöltött fájl neve. |
FileMD5 | Választható | MD5 | HTTP-feltöltések esetén a feltöltött fájl MD5-kivonata. Például: 75a599802f1fa166cdadb360960b1dd0 |
FileSHA1 | Választható | SHA1 | HTTP-feltöltések esetén a feltöltött fájl SHA1 kivonata. Példa: d55c5a4df19b46db8c54 c801c4665d3338acdab0 |
FileSHA256 | Választható | SHA256 | HTTP-feltöltések esetén a feltöltött fájl SHA256-kivonata. Példa: e81bb824c4a09a811af17deae22f22dd 2e1ec8cbb00b22629d2899f7c68da274 |
FileSHA512 | Választható | SHA512 | HTTP-feltöltések esetén a feltöltött fájl SHA512 kivonata. |
Hash | Alias | Alias a rendelkezésre álló Kivonat mezőhöz. | |
FileHashType | Választható | Enumerated | A kivonat típusa a Kivonat mezőben. Lehetséges értékek: MD5 , SHA1 , SHA256 és SHA512 . |
Fájlméretet | Választható | Hosszú | HTTP-feltöltések esetén a feltöltött fájl mérete bájtban. |
FileContentType | Választható | Sztring | HTTP-feltöltések esetén a feltöltött fájl tartalomtípusa. |
Egyéb mezők
Ha az eseményt a webes munkamenet egyik végpontja jelenti, az információkat tartalmazhat a munkamenetet kezdeményező vagy megszakító folyamatról. Ilyen esetekben az ASIM folyamatesemény-sémája normalizálja ezeket az információkat.
Sémafrissítések
A webes munkamenet sémája a hálózati munkamenet sémájára támaszkodik. Ezért a hálózati munkamenet sémafrissítései a webes munkamenet sémájára is érvényesek.
A séma 0.2.5-ös verziójának változásai a következők:
- Hozzáadta a mezőt
HttpHost
.
A séma 0.2.6-os verziójának változásai a következők:
- A FileSize típusa egész számról hosszúra módosult.
Következő lépések
További információkért lásd: