مرجع مخطط تسوية جلسة ويب نموذج معلومات الأمان المتقدمة (ASIM) (معاينة عامة)
يُستخدم مخطط تسوية جلسة الويب لوصف نشاط شبكة IP. على سبيل المثال، يتم الإبلاغ عن أنشطة شبكة IP من خلال خوادم الويب ووكلاء الويب وبوابات أمان الويب.
لمزيد من المعلومات بشأن التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
هام
يُعد مخطط تسوية الشبكة قيد المعاينة حاليًا. تُوفّر هذه الميزة دون الحاجة إلى اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال العمل الخاصة بالإنتاج.
تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
نظرة عامة على المخطط
يمثل مخطط تسوية جلسة الويب أي جلسة شبكة HTTP، وهو مناسب لتوفير الدعم للأنواع الشائعة للمصادر، بما في ذلك:
- خوادم الويب
- وكلاء الويب
- بوابات أمان الويب
يمثل مخطط جلسة الويب لـ ASIM نشاط بروتوكول HTTP وHTTPS. نظرًا إلى أن المخطط يمثل نشاط البروتوكول، فإنه يحكمه طلبات التعليقات (RFC) وقوائم المعلمات المعينة رسميًا، والتي تتم الإشارة إليها في هذه المقالة عند الاقتضاء.
لا يمثل مخطط جلسة الويب أحداث التدقيق من الأجهزة المصدر. على سبيل المثال، لا يمكن تمثيل حدث يُعدّل نهج بوابة أمان الويب من خلال مخطط جلسة الويب.
نظرًا إلى أن جلسات HTTP هي جلسات طبقة التطبيق التي تستخدم TCP/IP كجلسة لطبقة الشبكة الأساسية، فإن مخطط جلسة الويب هو مجموعة فائقة من مخطط جلسة الشبكة لـ ASIM.
أهم الحقول في مخطط جلسة الويب هي:
- Url، الذي يبلغ عن عنوان URL الذي طلبه العميل من الخادم.
- SrcIpAddr (المستعار إلى IpAddr)، الذي يمثل عنوان IP الذي تم إنشاء الطلب منه.
- حقل EventResultDetails ، الذي يبلغ عادة عن رمز حالة HTTP.
قد تتضمن أحداث جلسة الويب أيضًا معلومات المستخدم والعملية للمستخدم والعملية التي تبدأ الطلب.
المُحللات
لمزيد من المعلومات حول مُحللات ASIM، راجع نظرة عامة على مُحللات ASIM.
توحيد المحللات
لاستخدام المُحللات التي تعمل على توحيد جميع محللات ASIM الجاهزة، والتأكد من أن التحليل الخاص بك يعمل عبر جميع المصادر المكونة، استخدم _Im_WebSession محلل التصفية أو _ASim_WebSession محلل المعلمات الأقل.
يمكنك أيضًا استخدام مُحللات ImWebSession وASimWebSession المنشورة إلى مساحة العمل عن طريق نشرها من مستودع Microsoft Sentinel GitHub. لمزيد من المعلومات، راجع مُحللات ASIM المضمنة والمُحللات المنشورة إلى مساحة العمل.
المحللات جديدة ومخصصة للمصدر
للحصول على قائمة مُحللات جلسة الويب التي يوفرها Microsoft Sentinel جاهزة للتشغيل، ارجع إلى قائمة مُحللات ASIM
أضف المحلل اللغوي المعياري الخاص بك
عند تنفيذ مُحللات مخصصة لنموذج معلومات جلسة الويب، قم بتسمية دوال KQL باستخدام بناء الجملة التالي:
vimWebSession<vendor><Product>للمُحللات القائمة على المعلماتASimWebSession<vendor><Product>للمُحللات العادية
تصفية معلمات المُحلل
تدعم مُحللات im وvim* معلمات التصفية. في حين أن هذه المُحللات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفّر معلمات التصفية التالية:
| Name | كتابة | الوصف |
|---|---|---|
| starttime | datetime | تصفية جلسات الويب التي بدأت في هذا الوقت أو بعده فقط. |
| endtime | datetime | تصفية جلسات الويب التي بدأت التشغيل في هذا الوقت أو قبله فقط. |
| srcipaddr_has_any_prefix | ديناميكي | تصفية فقط جلسات الويب التي تكون بادئة حقل عنوان IP المصدر في إحدى القيم المدرجة لها. قد تتضمن قائمة القيم عناوين IP وبادئات عناوين IP. يجب أن تنتهي البادئات بـ .، على سبيل المثال: 10.0.. طول القائمة محدد بـ 10000 عنصر. |
| ipaddr_has_any_prefix | ديناميكي | تصفية فقط جلسات الشبكة التي يكون حقل عنوان IP الوجهة أو بادئة حقل عنوان IP المصدر في إحدى القيم المدرجة لها. يجب أن تنتهي البادئات بـ .، على سبيل المثال: 10.0.. طول القائمة محدد بـ 10000 عنصر.يُعيّن الحقل ASimMatchingIpAddr بإحدى القيم SrcIpAddrDstIpAddrأو Both لتعكس الحقول أو الحقول المطابقة. |
| url_has_any | ديناميكي | تصفية فقط جلسات الويب التي يحتوي حقل عنوان URL على أي من القيم المدرجة لها. قد يتجاهل المُحلل مخطط عنوان URL الذي تم تمريره كمعلمة، إذا لم يبلغ المصدر عنه. إذا تم التحديد، ولم تكن الجلسة جلسة ويب، فلن يتم إرجاع أي نتيجة. طول القائمة محدد بـ 10000 عنصر. |
| httpuseragent_has_any | ديناميكي | تصفية فقط جلسات الويب التي يحتوي حقل عميل المستخدم على أي من القيم المدرجة لها. إذا تم التحديد، ولم تكن الجلسة جلسة ويب، فلن يتم إرجاع أي نتيجة. طول القائمة محدد بـ 10000 عنصر. |
| eventresultdetails_in | ديناميكي | تصفية فقط جلسات الويب التي تكون التعليمة البرمجية لحالة HTTP المخزنة في حقل EventResultDetails أيًا من القيم المدرجة لها. |
| eventresult | سلسلة | تصفية جلسات عمل الشبكة بقيمة EventResult معينة فقط. |
يمكن أن تقبل بعض المعلمات كلا من قائمة القيم من النوع dynamic أو قيمة سلسلة واحدة. لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم قيمة حرفية ديناميكية بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.'])
على سبيل المثال، لتصفية جلسات الويب فقط لقائمة محددة من أسماء المجالات، استخدم:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
تفاصيل المُخطط
تتم محاذاة نموذج معلومات جلسة الويب مع مخطط كيان شبكة OSSEM ومخطط كيان OSSEM HTTP.
للامتثال لأفضل ممارسات الصناعة، يستخدم مخطط جلسة الويب الواصفات Src وDst لتحديد الأجهزة المصدر والوجهة للجلسة، دون تضمين رمز Dvc المميز في اسم الحقل.
لذلك، على سبيل المثال، يسمى اسم مضيف الجهاز المصدر وعنوان IP SrcHostname وSrcIpAddr على التوالي، وليس SrcDvcHostname وSrcDvcIpAddr. تُستخدم البادئة Dvc فقط لجهاز التقارير أو الوسيط، حسب الاقتضاء.
تستخدم الحقول التي تصف المستخدم والتطبيق المقترنين بالأجهزة المصدر والوجهة أيضًا الواصفات Src وDst.
عادةً ما تستخدم مخططات ASIM الأخرى Target بدلاً من Dst.
حقول ASIM المشتركة
هام
توصف الحقول المشتركة لكافة المخططات بالتفصيل في مقالة الحقول المشتركة لـ ASIM.
الحقول المشتركة مع وجود إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث جلسة الويب:
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| EventType | إلزامي | Enumerated | يصف العملية التي أبلغ بها السجل. القيم المسموح بها هي: - HTTPsession: يشير إلى جلسة عمل شبكة تستخدم ل HTTP أو HTTPS، يتم الإبلاغ عنها عادة بواسطة جهاز وسيط، مثل وكيل أو بوابة أمان ويب.- WebServerSession: يشير إلى طلب HTTP تم الإبلاغ عنه بواسطة خادم ويب. عادة ما يحتوي مثل هذا الحدث على معلومات أقل متعلقة بالشبكة. يجب ألا يتضمن عنوان URL الذي تم الإبلاغ عنه مخططا واسم خادم، ولكن فقط المسار والمعلمات جزء من عنوان URL. - ApiRequest: يشير إلى طلب HTTP تم الإبلاغ عنه مقترنا باستدعاء API، يتم الإبلاغ عنه عادة بواسطة خادم تطبيق. عادة ما يحتوي مثل هذا الحدث على معلومات أقل متعلقة بالشبكة. عند الإبلاغ عنه من قبل خادم التطبيق، يجب ألا يتضمن عنوان URL الذي تم الإبلاغ عنه مخططا واسم خادم، ولكن فقط المسار والمعلمات جزء من عنوان URL. |
| EventResult | إلزامي | Enumerated | يصف نتيجة الحدث، التي تمت تسويتها إلى إحدى القيم التالية: - Success - Partial - Failure - NA (غير قابل للتطبيق) بالنسبة إلى جلسة HTTP، يتم تعريف Success كتعليمة برمجية للحالة أقل من 400، ويتم تعريف Failure كتعليمة برمجية للحالة أعلى من 400. للحصول على قائمة التعليمات البرمجية لحالة HTTP، راجع W3 Org.قد يوفر المصدر قيمة لحقل EventResultDetails فقط، والذي يلزم تحليله للحصول على قيمة EventResult. |
| EventResultDetails | مستحسن | السلسلة | رمز حالة HTTP. ملاحظة: قد تتوفر القيمة في سجل المصدر باستخدام مصطلحات مختلفة، والتي يجب أن تكون مطابقة لهذه القيم. يجب أن تُخزّن القيمة الأصلية في حقل EventOriginalResultDetails. |
| EventSchema | إلزامي | السلسلة | اسم المخطط الموثّق هنا هو WebSession. |
| EventSchemaVersion | إلزامي | السلسلة | إصدار المُخطط. إصدار مخطط قاعدة البيانات الموثق هنا هو 0.2.6 |
| حقول Dvc | بالنسبة إلى أحداث جلسة الويب، تُشير حقول الجهاز إلى النظام الذي يبلغ عن حدث جلسة الويب. هذا عادة ما يكون جهازا وسيطا للأحداث HTTPSession ، والويب الوجهة أو خادم التطبيق للأحداث WebServerSession و ApiRequest . |
جميع الحقول الشائعة
تُعد الحقول التي تظهر في الجدول أدناه مشتركة في جميع مخططات ASIM. أية مبادئ توجيهية محددة أعلاه تلغي الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريًا بشكل عام، لكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع المقالة الحقول المشتركة لـ ASIM.
| فصل | الحقول |
|---|---|
| إلزامي | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| مستحسن | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| اختياري | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - مالك الحدث - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
حقول جلسة الشبكة
تُعد جلسات HTTP جلسات طبقة التطبيق التي تستخدم TCP/IP كجلسة لطبقة الشبكة الأساسية. مخطط جلسة عمل ويب هو مجموعة فائقة من مخطط جلسة عمل شبكة ASIM ويتم أيضا تضمين كافة حقول مخطط الشبكة في مخطط جلسة ويب.
تحتوي حقول مخطط جلسة الشبكة لـ ASIM التالية على إرشادات محددة عند استخدامها لحدث جلسة الويب:
- يلزم أن يشير الاسم المستعار المستخدم إلى SrcUsername وليس إلى DstUsername.
- قد يحتوي الحقل EventOriginalResultDetails على أي نتيجة أبلغ عنها المصدر بالإضافة إلى التعليمة البرمجية لحالة HTTP المخزّنة في EventResultDetails.
- بالنسبة إلى جلسات الويب، يكون الحقل الوجهة الأساسي هو حقل عنوان URL. يُعد DstDomain اختياريًا أكثر من كونه مُستحسنًا. على وجه التحديد، إذا لم يكن متوفرًا، فليست هناك حاجة لاستخراجه من عنوان URL في المُحلل.
NetworkRuleNameتتم إعادة تسميةRuleNameالحقلين وNetworkRuleNumberعلىRuleNumberالتوالي.
يُبلغ عن أحداث جلسة الويب عادةً عن طريق الأجهزة الوسيطة التي تنهي اتصال HTTP من العميل وتبدأ اتصالاً جديدًا، يعمل كوكيل مع الخادم. لتمثيل الجهاز الوسيط، استخدم حقول الجهاز الوسيط لمخطط جلسة عمل شبكة ASIM
حقول جلسة HTTP
فيما يلي حقول إضافية خاصة بجلسات الويب:
| الحقل | الفصل | النوع | الوصف |
|---|---|---|---|
| Url | إلزامي | السلسلة | عنوان URL لطلب HTTP، بما في ذلك المعلمات. بالنسبة للأحداث HTTPSession ، قد يتضمن عنوان URL المخطط ويجب أن يتضمن اسم الخادم. بالنسبة ل WebServerSession و ل ApiRequest URL، عادة لا تتضمن المخطط والخادم، والتي يمكن العثور عليها في الحقلين NetworkApplicationProtocol و DstFQDN على التوالي. مثال: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | اختياري | السلسلة | التجميع المحدد لعنون URL أو جزء المجال لعنوان URL. عادةً ما يتم توفير الفئة عن طريق بوابات أمان الويب وتعتمد على محتوى الموقع الذي يشير إليه عنوان URL. مثال: محرّكات البحث والبالغين والكبار والإعلانات والمجالات المتوقفة. |
| UrlOriginal | اختياري | السلسلة | القيمة الأصلية لعنون URL، عندما تم تعديل عنوان URL من خلال جهاز إعداد التقارير وتتوفر كلتا القيمتين. |
| HttpVersion | اختياري | السلسلة | إصدار طلب HTTP. مثال: 2.0 |
| HttpRequestMethod | مستحسن | Enumerated | أسلوب HTTP. يتم تعريف القيم في RFC 7231 وRFC 5789، وتتضمن GET وHEAD وPOST وPUT وDELETE وCONNECT وOPTIONS وTRACE وPATCH.مثال: GET |
| HttpStatusCode | الاسم المستعار | التعليمة البرمجية لحالة HTTP. الاسم المستعار لـ EventResultDetails. | |
| HttpContentType | اختياري | السلسلة | رأس نوع محتوى استجابة HTTP. ملاحظة: قد يتضمن حقل HttpContentType كلاَ من تنسيق المحتوى والمعلمات الإضافية، مثل الترميز المستخدم للحصول على التنسيق الفعلي. مثال: text/html; charset=ISO-8859-4 |
| HttpContentFormat | اختياري | السلسلة | جزء تنسيق المحتوى لـ HttpContentType مثال: text/html |
| HttpReferrer | اختياري | السلسلة | رأس مرجع HTTP. ملاحظة: يستخدم ASIM، بالتزامن مع OSSEM، التدقيق الإملائي الصحيح لـ المرجع، وليس التدقيق الإملائي الأصلي لرأس HTTP. مثال: https://developer.mozilla.org/docs |
| HttpUserAgent | اختياري | السلسلة | رأس عميل مستخدم HTTP. مثال: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML، مثل Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| UserAgent | الاسم المستعار | الاسم المستعار لـ HttpUserAgent | |
| HttpRequestXff | اختياري | عنوان IP | رأس X-Forwarded-For لـ HTTP. مثال: 120.12.41.1 |
| HttpRequestTime | اختياري | رقم صحيح | مقدار الوقت، بالمللي ثانية، المُستغرَق لإرسال الطلب إلى الخادم، إن أمكن. مثال: 700 |
| HttpResponseTime | اختياري | رقم صحيح | مقدار الوقت، بالمللي ثانية، المُستغرَق لتلقي استجابة في الخادم، إن أمكن. مثال: 800 |
| HttpHost | اختياري | السلسلة | خادم الويب الظاهري الذي استهدفه طلب HTTP. تستند هذه القيمة عادة إلى عنوان مضيف HTTP. |
| اسم الملف | اختياري | السلسلة | بالنسبة إلى تحميلات HTTP، اسم الملف الذي تم تحميله. |
| FileMD5 | اختياري | MD5 | بالنسبة إلى تحميلات HTTP، شفرة التجزئة MD5 للملف الذي تم تحميله. مثال: 75a599802f1fa166cdadb360960b1dd0 |
| FileSHA1 | اختياري | SHA1 | بالنسبة إلى تحميلات HTTP، شفرة التجزئة SHA1 للملف الذي تم تحميله. مثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| FileSHA256 | اختياري | SHA256 | بالنسبة إلى تحميلات HTTP، شفرة التجزئة SHA256 للملف الذي تم تحميله. مثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| FileSHA512 | اختياري | SHA512 | بالنسبة إلى تحميلات HTTP، شفرة التجزئة SHA512 للملف الذي تم تحميله. |
| Hash | الاسم المستعار | اسم مستعار لحقل شفرة التجزئة المتوفرة. | |
| FileHashType | اختياري | Enumerated | نوع شفرة التجزئة في حقل Hash. تتضمن القيم الممكنة: MD5 وSHA1 وSHA256 وSHA512. |
| FileSize | اختياري | طويل | بالنسبة إلى تحميلات HTTP، حجم الملف الذي تم تحميله بالبايت. |
| FileContentType | اختياري | السلسلة | بالنسبة إلى تحميلات HTTP، نوع المحتوى للملف الذي تم تحميله. |
حقول أخرى
في حال تم الإبلاغ عن الحدث عن طريق إحدى نقاط النهاية لجلسة الويب، فقد يتضمن معلومات حول العملية التي بدأت الجلسة أو أنهتها. في مثل هذه الحالات، يعمل مخطط حدث العملية لـ ASIM على تسوية هذه المعلومات.
تحديثات المخطط
يعتمد مخطط جلسة الويب على مخطط جلسة الشبكة. لذلك، تنطبق تحديثات مخطط جلسة الشبكة على مخطط جلسة الويب أيضًا.
فيما يلي التغييرات في الإصدار 0.2.5 من المخطط:
- تمت إضافة الحقل
HttpHost.
فيما يلي التغييرات في الإصدار 0.2.6 من المخطط:
- تم تغيير نوع FileSize من عدد صحيح إلى طويل.
الخطوات التالية
لمزيد من المعلومات، راجع: