共用方式為

進階安全性資訊模型 (ASIM) Web 工作階段正規化結構描述參考 (公開預覽)

  • 發行項

Web 工作階段正規化結構描述可用來描述 IP 網路活動。 例如,Web 伺服器、Web Proxy 和 Web 安全性閘道會報告 IP 網路活動。

如需關於 Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)

重要

網路正規化結構描述目前為預覽版。 此功能是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。

Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

結構描述概觀

Web 工作階段正規化結構描述可代表任何 HTTP 網路工作階段,而且適合用來支援常見的來源類型,包括:

  • Web 伺服器
  • Web Proxy
  • Web 安全性閘道

ASIM Web 工作階段結構描述可代表 HTTP 和 HTTPS 通訊協定活動。 由於結構描述可代表通訊協定活動,所以會受到 RFC 管控並正式獲派參數清單 (本文會視情況參考此清單)。

Web 工作階段結構描述不會代表來源裝置的稽核事件。 例如,修改 Web 安全性閘道原則的事件無法由 Web 工作階段結構描述代表。

由於 HTTP 工作階段是會以 TCP/IP 作為基礎網路層工作階段的應用程式層工作階段,因此 Web 工作階段結構描述是 ASIM 網路工作階段結構描述的超集。

Web 工作階段結構描述中最重要的欄位包括:

  • Url,會報告用戶端從伺服器要求的 Url。
  • SrcIpAddr (別名為 IpAddr),代表從中產生要求的 IP 位址。
  • EventResultDetails 欄位,通常會報告 HTTP 狀態碼。

Web 工作階段事件也可能包含起始要求的使用者和程序的使用者程序資訊。

剖析器

如需 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀

整合剖析器

若要使用整合了所有 ASIM 現成剖析器的剖析器,並確保分析會跨所有已設定的來源來執行,請使用 _Im_WebSession 篩選剖析器或 _ASim_WebSession 無參數剖析器。

您也可以使用工作區所部署的 ImWebSessionASimWebSession 剖析器,方法是從 Microsoft Sentinel GitHub 存放庫部署這些剖析器。 如需詳細資訊,請參閱內建的 ASIM 剖析器和工作區部署的剖析器

現成的來源特定剖析器

如需 Web 工作階段剖析器清單,Microsoft Sentinel 提供現成可用的 ASIM 剖析器清單

新增您自己的標準化剖析器

針對 Web 工作階段資訊模型實作自訂剖析器時,請使用下列語法為您的 KQL 函式命名:

  • vimWebSession<vendor><Product> (若為參數化剖析器)
  • ASimWebSession<vendor><Product> (若為一般剖析器)

篩選剖析器參數

imvim* 剖析器支援篩選參數。 雖然這兩項是選擇性剖析器,但可以改善您的查詢效能。

可用的篩選參數如下:

名稱 類型 Description
starttime Datetime 僅篩選出在這個時間 (含) 之後開始的 Web 工作階段。
endtime Datetime 僅篩選出在這個時間 (含) 之前開始執行的 Web 工作階段。
srcipaddr_has_any_prefix 動態 僅篩選出其來源 IP 位址欄位前置詞位於其中一個所列出值的 Web 工作階段。 值清單可以包含 IP 位址及 IP 位址前置詞。 前置詞應以 . 結尾,例如:10.0.。 清單長度上限為 10000 個項目。
ipaddr_has_any_prefix 動態 僅篩選出其目的地 IP 位址欄位來源 IP 位址欄位前置詞位於其中一個所列出值的網路工作階段。 前置詞應以 . 結尾,例如:10.0.。 清單長度上限為 10000 個項目。

ASimMatchingIpAddr 欄位是使用 SrcIpAddrDstIpAddrBoth 其中一個值來設定,以反映相符的欄位。
url_has_any 動態 僅篩選出其 URL 欄位有任何所列出值的 Web 工作階段。 如果來源未回報 URL,剖析器可能會忽略當作參數傳遞的 URL 結構描述。 若指定此參數,而且工作階段不是 Web 工作階段,則不會傳回任何結果。 清單長度上限為 10,000 個項目。
httpuseragent_has_any 動態 僅篩選出其使用者代理程式欄位有任何所列出值的 Web 工作階段。 若指定此參數,而且工作階段不是 Web 工作階段,則不會傳回任何結果。 清單長度上限為 10,000 個項目。
eventresultdetails_in 動態 僅篩選出其儲存在 EventResultDetails 欄位的 HTTP 狀態碼是任一列出值的 Web 工作階段。
eventresult 字串 僅篩選出有特定 EventResult 值的網路工作階段。

某些參數可以接受類型的 dynamic 值清單或單一字串值。 若要將常值清單傳遞給應該為動態值的參數,請明確使用動態常值。 例如:dynamic(['192.168.','10.'])

例如,若要僅篩選出指定網域名稱清單的 Web 工作階段,請使用:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)

結構描述詳細資料

Web 工作階段資訊模型會與 OSSEM 網路實體結構描述OSSEM HTTP 實體結構描述一致。

為了符合業界最佳做法,Web 工作階段結構描述會使用描述項 SrcDst 來識別工作階段的來源和目的地裝置,而不會在欄位名稱中包含權杖 Dvc

例如,來源裝置主機名稱和 IP 位址會分別命名為 SrcHostnameSrcIpAddr,而不是 SrcDvcHostnameSrcDvcIpAddr。 前置詞 Dvc 只會在情況適當時用於報告或中繼裝置。

欄位如果描述與來源和目的地裝置相關聯的使用者和應用程式,則也會使用 SrcDst 描述項。

其他 ASIM 結構描述通常會使用 Target,而不是 Dst

通用 ASIM 欄位

重要

ASIM 通用欄位一文中詳細說明所有結構描述的通用欄位。

具有特定指導方針的通用欄位

下列清單會提及具有 Web 工作階段事件特定指導方針的欄位:

欄位 類別 類型 描述
EventType 強制性 Enumerated 描述記錄所報告的作業。 允許的值包括:
- HTTPsession:表示用於 HTTP 或 HTTPS 的網路會話,通常是由中繼裝置所報告,例如 Proxy 或 Web 安全性閘道。
- WebServerSession:表示網頁伺服器所報告的 HTTP 要求。 這類事件通常具有較少的網路相關資訊。 報告的 URL 不應包含架構和伺服器名稱,但只包含 URL 的路徑和參數部分。
- ApiRequest:表示與 API 呼叫相關聯的 HTTP 要求,通常是由應用程式伺服器報告。 這類事件通常具有較少的網路相關資訊。 由應用程式伺服器報告時,報告的 URL 不應包含架構和伺服器名稱,但只包含 URL 的路徑和參數部分。
EventResult 強制性 Enumerated 描述事件結果,會正規化為下列其中一個值:
- Success
- Partial
- Failure
- NA (不適用)

若為 HTTP 工作階段,Success 會定義為低於 400 的狀態碼,而且 Failure 會定義為高於 400 的狀態碼。 如需 HTTP 狀態碼清單,請參閱 W3 組織

來源可能只會提供 EventResultDetails 欄位的值,必須加以分析才能取得 EventResult 值。
EventResultDetails 建議 String HTTP 狀態碼。

注意:此值可能會在來源記錄中使用不同詞彙來提供,請將其正規化為這些值。 原始值應該儲存在 EventOriginalResultDetails 欄位中。
EventSchema 強制性 String 這裡記錄的結構描述名稱為 WebSession
EventSchemaVersion 強制性 String 結構描述的版本。 這裡記錄的結構描述版本為 0.2.6
Dvc 欄位 若為 Web 工作階段事件,裝置欄位會參考報告 Web 工作階段事件的系統。 這通常是事件的媒介裝置 HTTPSession ,以及 和 ApiRequest 事件的目的地 Web 或應用程式伺服器 WebServerSession

所有通用欄位

下表顯示所有 ASIM 結構描述的通用欄位。 上述指定的任何指導方針皆會覆寫欄位的一般指導方針。 例如,某欄位在一般情況下可能是選擇性欄位,但在特定結構描述中則為必要欄位。 如需每個欄位的進一步詳細資料,請參閱 ASIM 通用欄位一文。

類別 欄位
強制性 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
建議 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
選擇性 - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

網路工作階段欄位

HTTP 工作階段是應用程式層工作階段,會以 TCP/IP 作為基礎網路層工作階段。 Web 會話架構是 ASIM 網路會話架構 的超集合,而且所有網路架構欄位也會包含在 Web 會話架構中。

下列 ASIM 網路工作階段結構描述欄位在用於 Web 工作階段事件時有特定的指導方針:

  • 別名使用者應該參考 SrcUsername,而不是 DstUsername
  • 除了儲存在 EventResultDetails 中的 HTTP 狀態碼之外,EventOriginalResultDetails 欄位還可以保存來源所報告的任何結果。
  • 若為 Web 工作階段,主要目的地欄位是 Url 欄位DstDomain 是選擇性欄位,而非建議欄位。 具體而言,如果無法使用,就不需要從剖析器中的 URL 加以擷取。
  • 欄位 NetworkRuleNameNetworkRuleNumber 會分別重新命名 RuleNameRuleNumber

Web 工作階段事件通常由中繼裝置報告,這些裝置會終止來自用戶端的 HTTP 連線,並向伺服器起始新的連線以作為 Proxy。 若要代表中繼裝置,請使用 ASIM 網路工作階段結構描述中繼裝置欄位

HTTP 工作階段欄位

以下是 Web 工作階段特有的其他欄位:

欄位 類別 類型 Description
Url 強制性 String HTTP 要求 URL,包括參數。 對於 HTTPSession 事件,URL 可能包含架構,而且應該包含伺服器名稱。 針對 WebServerSessionApiRequest ,URL 通常不包含架構和伺服器,這分別可在 和 DstFQDN 欄位中找到 NetworkApplicationProtocol

範例: https://contoso.com/fo/?k=v&amp;q=u#f
UrlCategory 選用 String URL 的已定義群組或 URL 網域部分。 類別通常由 Web 安全性閘道提供,而且會以 URL 所指向的網站內容為基礎。

範例:搜尋引擎、成人、新聞、廣告和駐留網域。
UrlOriginal 選用 String 當報告裝置修改 URL 並提供這兩個值時,這是 URL 的原始值。
HttpVersion 選用 String HTTP 要求版本。

範例: 2.0
HttpRequestMethod 建議 Enumerated HTTP 方法。 這些值如 RFC 7231RFC 5789 中所定義,並且包含 GETHEADPOSTPUTDELETECONNECTOPTIONSTRACEPATCH

範例: GET
HttpStatusCode Alias HTTP 狀態碼。 EventResultDetails 的別名。
HttpContentType 選用 String HTTP 回應內容類型標頭。

注意HttpContentType 欄位可能包含內容格式和額外參數,例如用來取得實際格式的編碼。

範例: text/html; charset=ISO-8859-4
HttpContentFormat 選用 String HttpContentType 的內容格式部分

範例: text/html
HttpReferrer 選用 String HTTP 參考者標頭。

注意:ASIM 與 OSSEM 同步,會針對參考者使用正確的拼字,而不是原始的 HTTP 標頭拼字。

範例: https://developer.mozilla.org/docs
HttpUserAgent 選用 String HTTP 使用者代理程式標頭。

範例:
Mozilla/5.0 (Windows NT 10.0;WOW64)
AppleWebKit/537.36 (KHTML,例如 Gecko)
Chrome/83.0.4103.97 Safari/537.36
UserAgent Alias HttpUserAgent 的別名
HttpRequestXff 選擇性 IP 位址 HTTP X-Forwarded-For 標頭。

範例: 120.12.41.1
HttpRequestTime 選用 整數 將要求傳送給伺服器所花的時間 (以毫秒為單位) (如果適用)。

範例: 700
HttpResponseTime 選用 整數 在伺服器中收到回應所花的時間 (以毫秒為單位) (如果適用)。

範例: 800
HttpHost 選用 String HTTP 要求的目標虛擬網頁伺服器。 此值通常是以 HTTP 主機標頭為基礎。
FileName 選用 String 若為 HTTP 上傳,則為所上傳檔案的名稱。
FileMD5 選擇性 MD5 若為 HTTP 上傳,則為所上傳檔案的 MD5 雜湊。

範例: 75a599802f1fa166cdadb360960b1dd0
FileSHA1 選擇性 SHA1 若為 HTTP 上傳,則為所上傳檔案的 SHA1 雜湊。

範例:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
FileSHA256 選擇性 SHA256 若為 HTTP 上傳,則為所上傳檔案的 SHA256 雜湊。

範例:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
FileSHA512 選擇性 SHA512 若為 HTTP 上傳,則為所上傳檔案的 SHA512 雜湊。
Hash Alias 可用 [雜湊] 欄位的別名。
FileHashType 選擇性 Enumerated [雜湊] 欄位中的雜湊類型。 可能的值包括:MD5SHA1SHA256SHA512
FileSize 選擇性 long 若為 HTTP 上傳,則為所上傳檔案的大小 (以位元組為單位)。
FileContentType 選用 String 若為 HTTP 上傳,則為所上傳檔案的內容類型。

其他欄位

如果事件由 Web 工作階段的其中一個端點報告,則可能會包含與起始或終止工作階段的程序有關的資訊。 在這類情況下,ASIM 程序事件結構描述會將這項資訊正規化。

結構描述更新

Web 工作階段結構描述依賴網路工作階段結構描述。 因此,網路工作階段結構描述更新也會套用到 Web 工作階段結構描述。

以下是架構 0.2.5 版中的變更:

  • 已新增欄位HttpHost

以下是架構 0.2.6 版中的變更:

  • FileSize 的類型已從 Integer 變更為 Long。

下一步

如需詳細資訊,請參閱