Referensi skema normalisasi Sesi Web Advanced Security Information Model (ASIM) (Pratinjau umum)
Skema normalisasi Sesi Web digunakan untuk menggambarkan aktivitas jaringan IP. Misalnya, aktivitas jaringan IP dilaporkan oleh server web, web proksi, dan gateway keamanan web.
Untuk informasi selengkapnya tentang normalisasi di Microsoft Sentinel, lihat Normalisasi dan Advanced Security Information Model (ASIM).
Penting
Skema normalisasi Jaringan saat ini dalam PRATINJAU. Fitur ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi.
Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Gambaran umum Skema
Skema normalisasi Sesi Web mewakili sesi jaringan HTTP mana pun, dan secara khusus akan sesuai untuk memberikan dukungan pada jenis sumber umum, termasuk:
- Server web
- Proksi web
- Gateway keamanan web
Skema Sesi Web ASIM mewakili aktivitas protokol HTTP dan HTTPS. Karena skema ini mewakili aktivitas protokol, skema ini diatur oleh RFC dan daftar parameter yang ditetapkan secara resmi, yang dirujuk dalam artikel ini bila sesuai.
Skema Sesi Web tidak mewakili peristiwa audit dari perangkat sumber. Misalnya, peristiwa yang mengubah kebijakan Gateway Keamanan Web tidak dapat diwakili oleh skema Sesi Web.
Karena sesi HTTP adalah sesi lapisan aplikasi yang menggunakan TCP/IP sebagai sesi lapisan jaringan yang mendasarinya, skema Sesi Web adalah satu set super dari skema Sesi Jaringan ASIM.
Bidang terpenting dalam skema Sesi Web adalah:
- Url, yang melaporkan url yang diminta klien dari server.
- SrcIpAddr (alias ipAddr), yang mewakili alamat IP di mana permintaan dihasilkan.
- EventResultDetails, yang melaporkan Kode Status HTTP.
Peristiwa Sesi Web juga dapat mencakup informasi User dan Process untuk pengguna dan proses memulai permintaan.
Parser
Untuk informasi selengkapnya tentang parser ASIM, lihat gambaran umum parser ASIM.
Menyatukan pengurai
Untuk menggunakan pengurai yang menyatukan semua pengurai out-of-the-box ASIM, dan memastikan bahwa analisis Anda berjalan di semua sumber yang dikonfigurasi, gunakan _Im_WebSession memfilter pengurai atau _ASim_WebSession pengurai tanpa parameter.
Anda juga dapat menggunakan ImWebSession penyebaran-ruang kerja dan pengurai ASimWebSession dengan menyebarkannya dari repositori Microsoft Sentinel GitHub. Untuk informasi selengkapnya, lihat pengurai ASIM bawaan dan pengurai yang disebarkan di ruang kerja.
Pengurai di luar kotak, khusus-sumber
Untuk daftar parser Sesi Web yang disediakan Microsoft Azure Sentinel di luar kotak, lihat daftar parser ASIM
Tambahkan parser normalisasi Anda sendiri
Saat menerapkan pengurai kustom untuk model informasi Sesi Web, beri nama fungsi KQL Anda menggunakan sintaks berikut:
vimWebSession<vendor><Product>untuk pengurai berparameterASimWebSession<vendor><Product>untuk pengurai reguler
Memfilter parameter parser
Parser im dan vim* mendukung pemfilteran parameter. Meskipun bersifat opsional, parser ini dapat meningkatkan performa kueri Anda.
Parameter pemfilteran berikut ini tersedia:
| Nama | Jenis | Deskripsi |
|---|---|---|
| starttime | tanggalwaktu | Filter hanya sesi Web yang dimulai pada atau setelah waktu ini. |
| endtime | tanggalwaktu | Filter hanya sesi Web yang mulai dijalankan pada atau setelah waktu ini. |
| srcipaddr_has_any_prefix | dinamis | Filter hanya sesi Web yang awalan bidang alamat IP sumbernya berada di salah satu nilai yang tercantum. Daftar nilai dapat mencakup alamat IP dan prefiks alamat IP. Awalan harus diakhiri dengan ., misalnya: 10.0.. Panjang daftar dibatasi hingga 10.000 item. |
| ipaddr_has_any_prefix | dinamis | Filter hanya sesi jaringan yang prefiks bidang alamat IP tujuan atau bidang alamat IP sumber berada di salah satu nilai yang tercantum. Awalan harus diakhiri dengan ., misalnya: 10.0.. Panjang daftar dibatasi hingga 10.000 item.Bidang ASimMatchingIpAddr diatur dengan salah satu nilai SrcIpAddr, DstIpAddr, atau Both untuk mencerminkan bidang atau bidang yang cocok. |
| url_has_any | dinamis | Filter hanya sesi Web yang bidang URLnya memiliki salah satu nilai yang tercantum. Pengurai dapat mengabaikan skema URL yang diteruskan sebagai parameter, jika sumber tidak melaporkannya. Jika ditentukan, dan sesinya bukan sesi web, tidak ada hasil yang akan dikembalikan. Panjang daftar dibatasi hingga 10.000 item. |
| httpuseragent_has_any | dinamis | Filter hanya sesi web yang bidang agen penggunanya memiliki salah satu nilai yang tercantum. Jika ditentukan, dan sesinya bukan sesi web, tidak ada hasil yang akan dikembalikan. Panjang daftar dibatasi hingga 10.000 item. |
| eventresultdetails_in | dinamis | Filter hanya sesi web yang kode status HTTPnya disimpan di bidang EventResultDetails, adalah salah satu nilai yang tercantum. |
| eventresult | string | Filter hanya sesi jaringan dengan nilai EventResult tertentu. |
Misalnya, untuk memfilter hanya sesi Web untuk daftar nama domain tertentu, gunakan:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Tip
Untuk meneruskan daftar harfiah ke parameter yang memerlukan nilai dinamis, secara eksplisit gunakan harfiah dinamis. Misalnya: dynamic(['192.168.','10.']).
Detail skema
Model informasi Sesi Web diselaraskan dengan skema entitas Jaringan OSSEM dan skema entitas HTTP OSSEM.
Agar sesuai dengan praktik terbaik industri, skema Sesi Web menggunakan deskriptor Src dan Dst untuk mengidentifikasi perangkat sumber dan tujuan sesi jaringan, tanpa menyertakan token Dvc dalam nama bidang.
Jadi, misalnya, hostname perangkat sumber dan alamat IP masing-masing diberi nama SrcHostname dan SrcIpAddr, dan bukan SrcDvcHostname dan SrcDvcIpAddr. Awalan Dvc hanya digunakan untuk perangkat pelaporan atau perantara, sebagaimana berlaku.
Bidang yang menjelaskan pengguna dan aplikasi yang terkait dengan perangkat sumber dan tujuan juga menggunakan deskriptor Src dan Dst.
Skema ASIM lainnya biasanya menggunakan Target, bukan Dst.
Bidang ASIM umum
Penting
Bidang yang umum untuk semua skema dijelaskan secara rinci dalam artikel Bidang Umum ASIM.
Bidang umum dengan pedoman khusus
Daftar berikut menyebutkan bidang yang memiliki pedoman khusus untuk acara Sesi Web:
| Bidang | Kelas | Jenis | Deskripsi |
|---|---|---|---|
| EventType | Wajib | Disebutkan | Menjelaskan operasi yang dilaporkan oleh rekaman dan harus diatur ke HTTPsession. |
| EventResult | Wajib | Disebutkan | Menjelaskan hasil peristiwa, dinormalisasi ke salah satu nilai berikut: - Success - Partial - Failure - NA (tidak berlaku)Untuk sesi HTTP, Success didefinisikan sebagai kode status yang lebih rendah dari 400, dan Failure didefinisikan sebagai kode status yang lebih tinggi dari 400. Untuk memperoleh daftar kode status HTTP, lihat W3 Org.Sumber hanya dapat memberikan nilai untuk bidang EventResultDetails, yang harus dianalisis untuk mendapatkan nilai EventResult. |
| EventResultDetails | Wajib | String | Untuk sesi HTTP, nilainya harus berupa kode status HTTP. Catatan: Nilai dapat diberikan dalam rekaman sumber menggunakan istilah yang berbeda, yang harus dinormalisasi ke nilai ini. Nilai asli harus disimpan di bidang EventOriginalResultDetails. |
| EventSchema | Wajib | String | Nama skema yang didokumentasikan di sini adalah WebSession. |
| EventSchemaVersion | Wajib | String | Versi skema. Versi skema yang didokumentasikan di sini adalah 0.2.3 |
| Bidang Dvc | Untuk peristiwa Sesi Web, bidang perangkat mengacu pada sistem yang melaporkan peristiwa Sesi Web. |
Semua bidang umum
Bidang yang muncul pada tabel di bawah ini adalah umum untuk semua skema ASIM. Setiap pedoman yang ditentukan di atas mengambil alih pedoman umum untuk bidang ini. Misalnya, sebuah bidang mungkin opsional secara umum, tetapi wajib untuk skema tertentu. Untuk detail lebih lanjut tentang setiap bidang, lihat artikel Bidang Umum ASIM.
| Kelas | Bidang |
|---|---|
| Wajib | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Disarankan | - EventResultDetails - EventSeverity - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opsional | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription |
Bidang sesi jaringan
Sesi HTTP adalah sesi lapisan aplikasi yang memanfaatkan TCP/IP sebagai sesi lapisan jaringan yang mendasarinya. Skema Sesi Web adalah set super skema Sesi Jaringan ASIM dan semua Bidang Sesi Jaringan juga disertakan dalam skema Sesi Web.
Bidang skema Sesi Jaringan ASIM berikut memiliki pedoman khusus saat digunakan untuk peristiwa Sesi Web:
- Pengguna alias harus merujuk ke SrcUsername dan bukan ke DstUsername.
- Bidang EventOriginalResultDetails dapat menahan hasil apa pun yang dilaporkan oleh sumber selain kode status HTTP yang disimpan di EventResultDetails.
- Untuk Sesi Web, bidang tujuan utamanya adalah Bidang Url. DstDomain lebih bersifat opsional daripada direkomendasikan. Secara khusus, jika tidak tersedia, tidak perlu mengekstraknya dari URL di pengurai.
Bidang perangkat perantara
Peristiwa Sesi Web biasanya akan dilaporkan oleh perangkat perantara yang mengakhiri koneksi HTTP dari klien dan memulai koneksi baru serta bertindak sebagai proksi, dengan server. Untuk mewakili perangkat perantara, gunakan skema Sesi Jaringan ASIMBidang perangkat perantara
Bidang sesi HTTP
Berikut ini adalah bidang tambahan yang khusus untuk sesi web:
| Bidang | Kelas | Jenis | Deskripsi |
|---|---|---|---|
| Url | Wajib | String | URL permintaan HTTP lengkap, termasuk parameter. Contoh: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | Opsional | String | Pengelompokan URL yang ditentukan atau bagian domain dari URL. Kategori ini biasanya disediakan oleh gateway keamanan web dan didasarkan pada konten situs yang ditunjuk oleh URL. Contoh: mesin cari, dewasa, berita, iklan, dan domain terparkir. |
| UrlOriginal | Opsional | String | Nilai asli URL, saat URL diubah oleh perangkat pelaporan dan kedua nilai diberikan. |
| HttpVersion | Opsional | String | Versi Permintaan HTTP. Contoh: 2.0 |
| HttpRequestMethod | Disarankan | Disebutkan | Metode HTTP. Nilainya seperti yang didefinisikan dalam RFC 7231 dan RFC 5789, dan termasuk GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, dan PATCH.Contoh: GET |
| HttpStatusCode | Alias | Kode Status HTTP. Alias untuk EventResultDetails. | |
| HttpContentType | Opsional | String | Header jenis konten Respons HTTP. Catatan: Bidang HttpContentType dapat menyertakan format konten serta parameter tambahan, seperti pengodean yang digunakan untuk mendapatkan format sebenarnya. Contoh: text/html; charset=ISO-8859-4 |
| HttpContentFormat | Opsional | String | Bagian format konten HttpContentType Contoh: text/html |
| HttpReferrer | Opsional | String | Header referen HTTP. Catatan: ASIM, sinkron dengan OSSEM, menggunakan ejaan yang benar untuk referen, dan bukan ejaan header HTTP asli. Contoh: https://developer.mozilla.org/docs |
| HttpUserAgent | Opsional | String | Header agen pengguna HTTP. Contoh: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, seperti Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| UserAgent | Alias | Alias untuk HttpUserAgent | |
| HttpRequestXff | Opsional | Alamat IP | Header HTTP X-Forwarded-For. Contoh: 120.12.41.1 |
| HttpRequestTime | Opsional | Bilangan bulat | Jumlah waktu, dalam milidetik, yang diperlukan untuk mengirim permintaan ke server, jika berlaku. Contoh: 700 |
| HttpResponseTime | Opsional | Bilangan bulat | Jumlah waktu, dalam milidetik, yang diperlukan untuk menerima respons di server, jika berlaku. Contoh: 800 |
| FileName | Opsional | String | Untuk unggahan HTTP, nama file yang diunggah. |
| FileMD5 | Opsional | MD5 | Untuk unggahan HTTP, hash MD5 dari file yang diunggah. Contoh: 75a599802f1fa166cdadb360960b1dd0 |
| FileSHA1 | Opsional | SHA1 | Untuk unggahan HTTP, hash SHA1 dari file yang diunggah. Contoh: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| FileSHA256 | Opsional | SHA256 | Untuk unggahan HTTP, hash SHA256 dari file yang diunggah. Contoh: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| FileSHA512 | Opsional | SHA512 | Untuk unggahan HTTP, hash SHA512 dari file yang diunggah. |
| Hash | Alias | Alias ke bidang Hash yang tersedia. | |
| FileHashType | Opsional | Disebutkan | Jenis hash di bidang Hash. Nilai yang mungkin antara lain MD5, SHA1, SHA256, dan SHA512. |
| FileSize | Opsional | Bilangan bulat | Untuk upload HTTP, ukuran dalam byte file yang diunggah. |
| FileContentType | Opsional | String | Untuk upload HTTP, jenis konten file yang diunggah. |
| RuleName | Opsional | String | Nama atau ID aturan yang digunakan untuk memutuskan DvcAction. Contoh: AnyAnyDrop |
| RuleNumber | Opsional | Bilangan bulat | Jumlah aturan yang digunakan untuk memutuskan DvcAction. Contoh: 23 |
| Aturan | Wajib | String | Baik NetworkRuleName atau NetworkRuleNumber |
| ThreatId | Opsional | String | ID ancaman atau malware yang diidentifikasi dalam sesi Web. Contoh: Tr.124 |
| ThreatName | Opsional | String | Nama ancaman atau malware yang diidentifikasi dalam sesi Web. Contoh: EICAR Test File |
| ThreatCategory | Opsional | String | Kategori ancaman atau malware yang diidentifikasi dalam sesi Web. Contoh: Trojan |
| ThreatRiskLevel | Opsional | Bilangan bulat | Tingkat risiko yang terkait dengan Sesi. Levelnya harus berupa angka antara 0 dan 100. Catatan: Nilai dapat diberikan dalam catatan sumber menggunakan skala yang berbeda, yang harus dinormalisasi ke skala ini. Nilai asli harus disimpan di ThreatRiskLevelOriginal. |
| ThreatRiskLevelOriginal | Opsional | String | Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan. |
Bidang lainnya
Jika peristiwa dilaporkan oleh salah satu titik akhir sesi web, peristiwa tersebut dapat mencakup informasi tentang proses yang memulai atau mengakhiri sesi. Dalam kasus seperti itu, Skema Peristiwa Proses ASIM untuk menormalkan informasi ini.
Pembaruan skema
Skema Sesi Web bergantung pada skema Sesi Jaringan. Oleh karena itu, pembaruan skema Sesi Jaringan juga berlaku untuk skema Sesi Web. Versi skema WebSession telah diperbarui guna mencerminkan hal ini.
Langkah berikutnya
Untuk informasi selengkapnya, lihat: