進階安全性資訊模型 (ASIM) Web 工作階段正規化結構描述參考 (公開預覽)
Web 工作階段正規化結構描述可用來描述 IP 網路活動。 例如,Web 伺服器、Web Proxy 和 Web 安全性閘道會報告 IP 網路活動。
如需關於 Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。
重要
網路正規化結構描述目前為預覽版。 此功能是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
結構描述概觀
Web 工作階段正規化結構描述可代表任何 HTTP 網路工作階段,而且適合用來支援常見的來源類型,包括:
- Web 伺服器
- Web Proxy
- Web 安全性閘道
ASIM Web 工作階段結構描述可代表 HTTP 和 HTTPS 通訊協定活動。 由於結構描述可代表通訊協定活動,所以會受到 RFC 管控並正式獲派參數清單 (本文會視情況參考此清單)。
Web 工作階段結構描述不會代表來源裝置的稽核事件。 例如,修改 Web 安全性閘道原則的事件無法由 Web 工作階段結構描述代表。
由於 HTTP 工作階段是會以 TCP/IP 作為基礎網路層工作階段的應用程式層工作階段,因此 Web 工作階段結構描述是 ASIM 網路工作階段結構描述的超集。
Web 工作階段結構描述中最重要的欄位包括:
- Url,會報告用戶端從伺服器要求的 Url。
- SrcIpAddr (別名為 IpAddr),代表從中產生要求的 IP 位址。
- EventResultDetails 欄位,通常會報告 HTTP 狀態碼。
Web 工作階段事件也可能包含起始要求的使用者和程序的使用者和程序資訊。
剖析器
如需 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀。
整合剖析器
若要使用整合了所有 ASIM 現成剖析器的剖析器,並確保分析會跨所有已設定的來源來執行,請使用 _Im_WebSession
篩選剖析器或 _ASim_WebSession
無參數剖析器。
您也可以使用工作區所部署的 ImWebSession
和 ASimWebSession
剖析器,方法是從 Microsoft Sentinel GitHub 存放庫部署這些剖析器。 如需詳細資訊,請參閱內建的 ASIM 剖析器和工作區部署的剖析器。
現成的來源特定剖析器
如需 Web 工作階段剖析器清單,Microsoft Sentinel 提供現成可用的 ASIM 剖析器清單
新增您自己的標準化剖析器
針對 Web 工作階段資訊模型實作自訂剖析器時,請使用下列語法為您的 KQL 函式命名:
vimWebSession<vendor><Product>
(若為參數化剖析器)ASimWebSession<vendor><Product>
(若為一般剖析器)
篩選剖析器參數
im
和 vim*
剖析器支援篩選參數。 雖然這兩項是選擇性剖析器,但可以改善您的查詢效能。
可用的篩選參數如下:
名稱 | 類型 | Description |
---|---|---|
starttime | Datetime | 僅篩選出在這個時間 (含) 之後開始的 Web 工作階段。 |
endtime | Datetime | 僅篩選出在這個時間 (含) 之前開始執行的 Web 工作階段。 |
srcipaddr_has_any_prefix | 動態 | 僅篩選出其來源 IP 位址欄位前置詞位於其中一個所列出值的 Web 工作階段。 值清單可以包含 IP 位址及 IP 位址前置詞。 前置詞應以 . 結尾,例如:10.0. 。 清單長度上限為 10000 個項目。 |
ipaddr_has_any_prefix | 動態 | 僅篩選出其目的地 IP 位址欄位或來源 IP 位址欄位前置詞位於其中一個所列出值的網路工作階段。 前置詞應以 . 結尾,例如:10.0. 。 清單長度上限為 10000 個項目。ASimMatchingIpAddr 欄位是使用 SrcIpAddr 、DstIpAddr 或 Both 其中一個值來設定,以反映相符的欄位。 |
url_has_any | 動態 | 僅篩選出其 URL 欄位有任何所列出值的 Web 工作階段。 如果來源未回報 URL,剖析器可能會忽略當作參數傳遞的 URL 結構描述。 若指定此參數,而且工作階段不是 Web 工作階段,則不會傳回任何結果。 清單長度上限為 10,000 個項目。 |
httpuseragent_has_any | 動態 | 僅篩選出其使用者代理程式欄位有任何所列出值的 Web 工作階段。 若指定此參數,而且工作階段不是 Web 工作階段,則不會傳回任何結果。 清單長度上限為 10,000 個項目。 |
eventresultdetails_in | 動態 | 僅篩選出其儲存在 EventResultDetails 欄位的 HTTP 狀態碼是任一列出值的 Web 工作階段。 |
eventresult | 字串 | 僅篩選出有特定 EventResult 值的網路工作階段。 |
某些參數可以接受類型的 dynamic
值清單或單一字串值。 若要將常值清單傳遞給應該為動態值的參數,請明確使用動態常值。 例如:dynamic(['192.168.','10.'])
例如,若要僅篩選出指定網域名稱清單的 Web 工作階段,請使用:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
結構描述詳細資料
Web 工作階段資訊模型會與 OSSEM 網路實體結構描述和 OSSEM HTTP 實體結構描述一致。
為了符合業界最佳做法,Web 工作階段結構描述會使用描述項 Src 和 Dst 來識別工作階段的來源和目的地裝置,而不會在欄位名稱中包含權杖 Dvc。
例如,來源裝置主機名稱和 IP 位址會分別命名為 SrcHostname 和 SrcIpAddr,而不是 SrcDvcHostname 和 SrcDvcIpAddr。 前置詞 Dvc 只會在情況適當時用於報告或中繼裝置。
欄位如果描述與來源和目的地裝置相關聯的使用者和應用程式,則也會使用 Src 和 Dst 描述項。
其他 ASIM 結構描述通常會使用 Target,而不是 Dst。
通用 ASIM 欄位
重要
ASIM 通用欄位一文中詳細說明所有結構描述的通用欄位。
具有特定指導方針的通用欄位
下列清單會提及具有 Web 工作階段事件特定指導方針的欄位:
欄位 | 類別 | 類型 | 描述 |
---|---|---|---|
EventType | 強制性 | Enumerated | 描述記錄所報告的作業。 允許的值包括: - HTTPsession :表示用於 HTTP 或 HTTPS 的網路會話,通常是由中繼裝置所報告,例如 Proxy 或 Web 安全性閘道。- WebServerSession :表示網頁伺服器所報告的 HTTP 要求。 這類事件通常具有較少的網路相關資訊。 報告的 URL 不應包含架構和伺服器名稱,但只包含 URL 的路徑和參數部分。 - ApiRequest :表示與 API 呼叫相關聯的 HTTP 要求,通常是由應用程式伺服器報告。 這類事件通常具有較少的網路相關資訊。 由應用程式伺服器報告時,報告的 URL 不應包含架構和伺服器名稱,但只包含 URL 的路徑和參數部分。 |
EventResult | 強制性 | Enumerated | 描述事件結果,會正規化為下列其中一個值: - Success - Partial - Failure - NA (不適用)若為 HTTP 工作階段, Success 會定義為低於 400 的狀態碼,而且 Failure 會定義為高於 400 的狀態碼。 如需 HTTP 狀態碼清單,請參閱 W3 組織。來源可能只會提供 EventResultDetails 欄位的值,必須加以分析才能取得 EventResult 值。 |
EventResultDetails | 建議 | String | HTTP 狀態碼。 注意:此值可能會在來源記錄中使用不同詞彙來提供,請將其正規化為這些值。 原始值應該儲存在 EventOriginalResultDetails 欄位中。 |
EventSchema | 強制性 | String | 這裡記錄的結構描述名稱為 WebSession 。 |
EventSchemaVersion | 強制性 | String | 結構描述的版本。 這裡記錄的結構描述版本為 0.2.6 |
Dvc 欄位 | 若為 Web 工作階段事件,裝置欄位會參考報告 Web 工作階段事件的系統。 這通常是事件的媒介裝置 HTTPSession ,以及 和 ApiRequest 事件的目的地 Web 或應用程式伺服器 WebServerSession 。 |
所有通用欄位
下表顯示所有 ASIM 結構描述的通用欄位。 上述指定的任何指導方針皆會覆寫欄位的一般指導方針。 例如,某欄位在一般情況下可能是選擇性欄位,但在特定結構描述中則為必要欄位。 如需每個欄位的進一步詳細資料,請參閱 ASIM 通用欄位一文。
網路工作階段欄位
HTTP 工作階段是應用程式層工作階段,會以 TCP/IP 作為基礎網路層工作階段。 Web 會話架構是 ASIM 網路會話架構 的超集合,而且所有網路架構欄位也會包含在 Web 會話架構中。
下列 ASIM 網路工作階段結構描述欄位在用於 Web 工作階段事件時有特定的指導方針:
- 別名使用者應該參考 SrcUsername,而不是 DstUsername。
- 除了儲存在 EventResultDetails 中的 HTTP 狀態碼之外,EventOriginalResultDetails 欄位還可以保存來源所報告的任何結果。
- 若為 Web 工作階段,主要目的地欄位是 Url 欄位。 DstDomain 是選擇性欄位,而非建議欄位。 具體而言,如果無法使用,就不需要從剖析器中的 URL 加以擷取。
- 欄位
NetworkRuleName
和NetworkRuleNumber
會分別重新命名RuleName
和RuleNumber
。
Web 工作階段事件通常由中繼裝置報告,這些裝置會終止來自用戶端的 HTTP 連線,並向伺服器起始新的連線以作為 Proxy。 若要代表中繼裝置,請使用 ASIM 網路工作階段結構描述中繼裝置欄位
HTTP 工作階段欄位
以下是 Web 工作階段特有的其他欄位:
欄位 | 類別 | 類型 | Description |
---|---|---|---|
Url | 強制性 | String | HTTP 要求 URL,包括參數。 對於 HTTPSession 事件,URL 可能包含架構,而且應該包含伺服器名稱。 針對 WebServerSession 和 ApiRequest ,URL 通常不包含架構和伺服器,這分別可在 和 DstFQDN 欄位中找到 NetworkApplicationProtocol 。 範例: https://contoso.com/fo/?k=v&q=u#f |
UrlCategory | 選用 | String | URL 的已定義群組或 URL 網域部分。 類別通常由 Web 安全性閘道提供,而且會以 URL 所指向的網站內容為基礎。 範例:搜尋引擎、成人、新聞、廣告和駐留網域。 |
UrlOriginal | 選用 | String | 當報告裝置修改 URL 並提供這兩個值時,這是 URL 的原始值。 |
HttpVersion | 選用 | String | HTTP 要求版本。 範例: 2.0 |
HttpRequestMethod | 建議 | Enumerated | HTTP 方法。 這些值如 RFC 7231 和 RFC 5789 中所定義,並且包含 GET 、HEAD 、POST 、PUT 、DELETE 、CONNECT 、OPTIONS 、TRACE 和 PATCH 。範例: GET |
HttpStatusCode | Alias | HTTP 狀態碼。 EventResultDetails 的別名。 | |
HttpContentType | 選用 | String | HTTP 回應內容類型標頭。 注意:HttpContentType 欄位可能包含內容格式和額外參數,例如用來取得實際格式的編碼。 範例: text/html; charset=ISO-8859-4 |
HttpContentFormat | 選用 | String | HttpContentType 的內容格式部分 範例: text/html |
HttpReferrer | 選用 | String | HTTP 參考者標頭。 注意:ASIM 與 OSSEM 同步,會針對參考者使用正確的拼字,而不是原始的 HTTP 標頭拼字。 範例: https://developer.mozilla.org/docs |
HttpUserAgent | 選用 | String | HTTP 使用者代理程式標頭。 範例: Mozilla/5.0 (Windows NT 10.0;WOW64)AppleWebKit/537.36 (KHTML,例如 Gecko)Chrome/83.0.4103.97 Safari/537.36 |
UserAgent | Alias | HttpUserAgent 的別名 | |
HttpRequestXff | 選擇性 | IP 位址 | HTTP X-Forwarded-For 標頭。 範例: 120.12.41.1 |
HttpRequestTime | 選用 | 整數 | 將要求傳送給伺服器所花的時間 (以毫秒為單位) (如果適用)。 範例: 700 |
HttpResponseTime | 選用 | 整數 | 在伺服器中收到回應所花的時間 (以毫秒為單位) (如果適用)。 範例: 800 |
HttpHost | 選用 | String | HTTP 要求的目標虛擬網頁伺服器。 此值通常是以 HTTP 主機標頭為基礎。 |
FileName | 選用 | String | 若為 HTTP 上傳,則為所上傳檔案的名稱。 |
FileMD5 | 選擇性 | MD5 | 若為 HTTP 上傳,則為所上傳檔案的 MD5 雜湊。 範例: 75a599802f1fa166cdadb360960b1dd0 |
FileSHA1 | 選擇性 | SHA1 | 若為 HTTP 上傳,則為所上傳檔案的 SHA1 雜湊。 範例: d55c5a4df19b46db8c54 c801c4665d3338acdab0 |
FileSHA256 | 選擇性 | SHA256 | 若為 HTTP 上傳,則為所上傳檔案的 SHA256 雜湊。 範例: e81bb824c4a09a811af17deae22f22dd 2e1ec8cbb00b22629d2899f7c68da274 |
FileSHA512 | 選擇性 | SHA512 | 若為 HTTP 上傳,則為所上傳檔案的 SHA512 雜湊。 |
Hash | Alias | 可用 [雜湊] 欄位的別名。 | |
FileHashType | 選擇性 | Enumerated | [雜湊] 欄位中的雜湊類型。 可能的值包括:MD5 、SHA1 、SHA256 和 SHA512 。 |
FileSize | 選擇性 | long | 若為 HTTP 上傳,則為所上傳檔案的大小 (以位元組為單位)。 |
FileContentType | 選用 | String | 若為 HTTP 上傳,則為所上傳檔案的內容類型。 |
其他欄位
如果事件由 Web 工作階段的其中一個端點報告,則可能會包含與起始或終止工作階段的程序有關的資訊。 在這類情況下,ASIM 程序事件結構描述會將這項資訊正規化。
結構描述更新
Web 工作階段結構描述依賴網路工作階段結構描述。 因此,網路工作階段結構描述更新也會套用到 Web 工作階段結構描述。
以下是架構 0.2.5 版中的變更:
- 已新增欄位
HttpHost
。
以下是架構 0.2.6 版中的變更:
- FileSize 的類型已從 Integer 變更為 Long。
下一步
如需詳細資訊,請參閱