إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يتم استخدام مخطط تسوية جلسة ويب لوصف نشاط شبكة IP. على سبيل المثال، يتم الإبلاغ عن أنشطة شبكة IP بواسطة خوادم الويب ووكلاء الويب وبوابات أمان الويب.
لمزيد من المعلومات حول التسوية في Microsoft Sentinel، راجع التسوية ونموذج معلومات الأمان المتقدم (ASIM).
نظرة عامة على المخطط
يمثل مخطط تسوية جلسة ويب أي جلسة عمل شبكة HTTP، وهو مناسب لتوفير الدعم للأنوعات الشائعة، بما في ذلك:
- خوادم الويب
- وكلاء الويب
- بوابات أمان الويب
يمثل مخطط جلسة ويب ASIM نشاط بروتوكول HTTP وHTTPS. نظرا لأن المخطط يمثل نشاط البروتوكول، فإنه يحكمه RFCs وقوائم المعلمات المعينة رسميا، والتي تتم الإشارة إليها في هذه المقالة عند الاقتضاء.
لا يمثل مخطط جلسة ويب أحداث التدقيق من الأجهزة المصدر. على سبيل المثال، لا يمكن تمثيل حدث يقوم بتعديل نهج Web Security Gateway بواسطة مخطط جلسة ويب.
نظرا لأن جلسات HTTP هي جلسات عمل طبقة التطبيق التي تستخدم TCP/IP كجلسة عمل طبقة شبكة أساسية، فإن مخطط جلسة الويب هو مجموعة فائقة من مخطط جلسة شبكة ASIM.
أهم الحقول في مخطط جلسة ويب هي:
- Url، الذي يبلغ عن عنوان URL الذي طلبه العميل من الخادم.
- SrcIpAddr (الاسم المستعار ل IpAddr)، والذي يمثل عنوان IP الذي تم إنشاء الطلب منه.
- حقل EventResultDetails، الذي يبلغ عادة عن رمز حالة HTTP.
قد تتضمن أحداث جلسة ويب أيضا معلومات المستخدموالعملية للمستخدم والعملية التي تبدأ الطلب.
موزعي
لمزيد من المعلومات حول محللات ASIM، راجع نظرة عامة على محللات ASIM.
توحيد المحللات
لاستخدام المحللات التي تعمل على توحيد جميع محللات ASIM الجاهزة، والتأكد من أن تحليلك يعمل عبر جميع المصادر المكونة، استخدم _Im_WebSession المحلل.
محللات خارج الصندوق ومخصصة للمصدر
للحصول على قائمة محللات جلسة ويب Microsoft Sentinel يوفر خارج الصندوق راجع قائمة محللات ASIM
إضافة المحللات التي تمت تسويتها
عند تنفيذ المحللات المخصصة لنموذج معلومات جلسة ويب، قم بتسمية وظائف KQL باستخدام بناء الجملة التالي:
-
vimWebSession<vendor><Product>للموزعات شبه المتماثلة -
ASimWebSession<vendor><Product>للمحللات العادية
تصفية معلمات المحلل
im تدعم المحللات و vim*معلمات التصفية. على الرغم من أن هذه المحللات اختيارية، فإنها يمكن أن تحسن أداء الاستعلام الخاص بك.
تتوفر معلمات التصفية التالية:
| الاسم | النوع | الوصف |
|---|---|---|
| وقت البدء | Datetime | تصفية جلسات ويب التي بدأت في هذا الوقت أو بعده فقط. تقوم هذه المعلمة بتصفية TimeGenerated الحقل، وهو المعين القياسي لوقت الحدث، بغض النظر عن التعيين الخاص بالموزع لحقول EventStartTime و EventEndTime. |
| وقت الانتهاء | Datetime | تصفية جلسات ويب التي بدأت العمل في هذا الوقت أو قبله فقط. تقوم هذه المعلمة بتصفية TimeGenerated الحقل، وهو المعين القياسي لوقت الحدث، بغض النظر عن التعيين الخاص بالموزع لحقول EventStartTime و EventEndTime. |
| srcipaddr_has_any_prefix | ديناميه | تصفية جلسات عمل ويب التي تكون بادئة حقل عنوان IP المصدر لها في إحدى القيم المدرجة فقط. يمكن أن تتضمن قائمة القيم عناوين IP وبادئات عناوين IP. يجب أن تنتهي البادئات ب .، على سبيل المثال: 10.0.. يقتصر طول القائمة على 10000 عنصر. |
| ipaddr_has_any_prefix | ديناميه | تصفية جلسات عمل الشبكة التي يكون حقل عنوان IP الوجهة أو بادئة حقل عنوان IP المصدر لها في إحدى القيم المدرجة. يجب أن تنتهي البادئات ب .، على سبيل المثال: 10.0.. يقتصر طول القائمة على 10000 عنصر.يتم تعيين الحقل ASimMatchingIpAddr بإحدى القيم SrcIpAddrأو DstIpAddrأو Both لتعكس الحقول أو الحقول المطابقة. |
| url_has_any | ديناميه | تصفية جلسات ويب التي يحتوي حقل URL على أي من القيم المدرجة لها فقط. قد يتجاهل المحلل مخطط عنوان URL الذي تم تمريره كمعلمة، إذا لم يبلغ المصدر عنه. إذا تم تحديدها، ولم تكن جلسة العمل جلسة ويب، فلن يتم إرجاع أي نتيجة. يقتصر طول القائمة على 10000 عنصر. |
| httpuseragent_has_any | ديناميه | تصفية جلسات عمل الويب التي يحتوي حقل عامل المستخدم على أي من القيم المدرجة لها فقط. إذا تم تحديدها، ولم تكن جلسة العمل جلسة ويب، فلن يتم إرجاع أي نتيجة. يقتصر طول القائمة على 10000 عنصر. |
| eventresultdetails_in | ديناميه | تصفية جلسات الويب التي يكون رمز حالة HTTP الخاص بها، المخزن في حقل EventResultDetails ، هو أي من القيم المدرجة. |
| eventresult | سلسله | تصفية جلسات الشبكة فقط بقيمة EventResult معينة. |
يمكن لبعض المعلمات قبول كل من قائمة القيم من النوع dynamic أو قيمة سلسلة واحدة. لتمرير قائمة حرفية إلى المعلمات التي تتوقع قيمة ديناميكية، استخدم حرفيا ديناميكيا بشكل صريح. على سبيل المثال: dynamic(['192.168.','10.'])
على سبيل المثال، لتصفية جلسات عمل ويب فقط لقائمة محددة من أسماء المجالات، استخدم:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
تفاصيل المخطط
يتم محاذاة نموذج معلومات جلسة ويب مع مخطط كيان شبكة OSSEMومخطط كيان OSSEM HTTP.
للتوافق مع أفضل ممارسات الصناعة، يستخدم مخطط جلسة ويب الواصفين SrcوDst لتحديد مصدر الجلسة وأجهزة الوجهة، دون تضمين Dvc للرمز المميز في اسم الحقل.
لذلك، على سبيل المثال، يسمى اسم مضيف الجهاز المصدر وعنوان IP SrcHostnameوSrcIpAddr على التوالي، وليس SrcDvcHostnameوSrcDvcIpAddr. يتم استخدام البادئة Dvc فقط لإعداد التقارير أو الجهاز الوسيط، حسب الاقتضاء.
تستخدم الحقول التي تصف المستخدم والتطبيق المرتبطين بأجهزة المصدر والوجهة أيضا واصفات SrcوDst .
عادة ما تستخدم مخططات ASIM الأخرى الهدف بدلا من Dst.
حقول ASIM الشائعة
هام
يتم وصف الحقول الشائعة لكافة المخططات بالتفصيل في مقالة الحقول الشائعة ASIM .
الحقول المشتركة مع إرشادات محددة
تشير القائمة التالية إلى الحقول التي تحتوي على إرشادات محددة لأحداث جلسة ويب:
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| نوع الحدث | الزاميه | تعداد | يصف العملية التي أبلغ عنها السجل. القيم المسموح بها هي: - HTTPsession: يشير إلى جلسة عمل شبكة تستخدم ل HTTP أو HTTPS، يتم الإبلاغ عنها عادة بواسطة جهاز وسيط، مثل وكيل أو بوابة أمان ويب.- WebServerSession: يشير إلى طلب HTTP تم الإبلاغ عنه بواسطة خادم ويب. عادة ما يحتوي مثل هذا الحدث على معلومات أقل متعلقة بالشبكة. يجب ألا يتضمن عنوان URL الذي تم الإبلاغ عنه مخططا واسم خادم، ولكن فقط المسار والمعلمات جزءا من عنوان URL. - ApiRequest: يشير إلى طلب HTTP تم الإبلاغ عنه مقترنا باستدعاء واجهة برمجة التطبيقات، يتم الإبلاغ عنه عادة بواسطة خادم التطبيق. عادة ما يحتوي مثل هذا الحدث على معلومات أقل متعلقة بالشبكة. عند الإبلاغ عنه بواسطة خادم التطبيق، يجب ألا يتضمن عنوان URL الذي تم الإبلاغ عنه مخططا واسم خادم، ولكن فقط المسار والمعلمات جزءا من عنوان URL. |
| EventResult | الزاميه | تعداد | يصف نتيجة الحدث، التي تمت تسويتها إلى إحدى القيم التالية: - Success - Partial - Failure - NA (غير قابل للتطبيق) بالنسبة لجلسة عمل HTTP، Success يتم تعريفها على أنها رمز حالة أقل من 400، ويتم Failure تعريفها على أنها رمز حالة أعلى من 400. للحصول على قائمة رموز حالة HTTP، راجع W3 Org.قد يوفر المصدر قيمة فقط لحقل EventResultDetails ، والذي يجب تحليله للحصول على قيمة EventResult . |
| EventResultDetails | اوصت | تعداد | رمز حالة HTTP كما هو محدد بواسطة اتحاد الويب العالمي ملاحظة: قد يتم توفير القيمة في السجل المصدر باستخدام مصطلحات مختلفة، والتي يجب تسويتها لهذه القيم. يجب تخزين القيمة الأصلية في حقل EventOriginalResultDetails . |
| EventSchema | الزاميه | تعداد | اسم المخطط الموثق هنا هو WebSession. |
| EventSchemaVersion | الزاميه | SchemaVersion (سلسلة) | إصدار المخطط. إصدار المخطط الموثق هنا هو 0.2.7 |
| حقول Dvc | بالنسبة لأحداث جلسة ويب، تشير حقول الجهاز إلى النظام الذي يبلغ عن حدث جلسة ويب. عادة ما يكون هذا جهازا وسيطا للأحداث HTTPSession ، والويب الوجهة أو خادم التطبيق للأحداث WebServerSession و ApiRequest . |
كافة الحقول الشائعة
الحقول التي تظهر في الجدول أدناه شائعة لجميع مخططات ASIM. أي إرشادات محددة أعلاه تتجاوز الإرشادات العامة للحقل. على سبيل المثال، قد يكون الحقل اختياريا بشكل عام، ولكنه إلزامي لمخطط معين. لمزيد من التفاصيل حول كل حقل، راجع مقالة الحقول المشتركة ASIM .
| فئه | الحقول |
|---|---|
| الزاميه |
-
عدد الأحداث - EventStartTime - EventEndTime - نوع الحدث - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| اوصت |
-
EventResultDetails - حدث كلي - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - معرف Dvc - DvcIdType - DvcAction |
| اختياري |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - مالك الحدث - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - حقول إضافية - DvcDescription - DvcScopeId - DvcScope |
حقول جلسة عمل الشبكة
جلسات HTTP هي جلسات عمل طبقة التطبيق التي تستخدم TCP/IP كجلسة طبقة شبكة أساسية. مخطط جلسة ويب هو مجموعة فائقة من مخطط جلسة شبكة ASIM ويتم أيضا تضمين جميع حقول مخطط الشبكة في مخطط جلسة ويب.
تحتوي حقول مخطط جلسة شبكة ASIM التالية على إرشادات محددة عند استخدامها لحدث جلسة ويب:
- يجب أن يشير الاسم المستعار المستخدم إلى SrcUsername وليس إلى DstUsername.
- يمكن أن يحتوي الحقل EventOriginalResultDetails على أي نتيجة أبلغ عنها المصدر بالإضافة إلى رمز حالة HTTP المخزن في EventResultDetails.
- بالنسبة لجلسات ويب، يكون حقل الوجهة الأساسي هو حقل Url. DstDomain اختياري بدلا من الموصى به. على وجه التحديد، إذا لم يكن متوفرا، ليست هناك حاجة لاستخراجه من عنوان URL في المحلل.
- تتم إعادة تسمية
RuleNameالحقولNetworkRuleNameوNetworkRuleNumberوRuleNumberعلى التوالي.
يتم الإبلاغ عن أحداث جلسة ويب بشكل شائع بواسطة الأجهزة الوسيطة التي تنهي اتصال HTTP من العميل وبدء اتصال جديد، يعمل كوكيل، مع الخادم. لتمثيل الجهاز الوسيط، استخدم حقول الجهاز الوسيطلمخطط جلسة عمل شبكة ASIM
حقول جلسة عمل HTTP
فيما يلي حقول إضافية خاصة بجلسات الويب:
| الميدان | فئه | النوع | الوصف |
|---|---|---|---|
| Url | الزاميه | عنوان URL (سلسلة) | عنوان URL لطلب HTTP، بما في ذلك المعلمات. بالنسبة للأحداث HTTPSession ، قد يتضمن عنوان URL المخطط ويجب أن يتضمن اسم الخادم. بالنسبة ل WebServerSession و ل ApiRequest URL، لن يتضمن عادة المخطط والخادم، اللذين يمكن العثور عليهما في الحقلين NetworkApplicationProtocol و DstFQDN على التوالي. على سبيل المثال: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | اختياري | سلسلة | التجميع المحدد لعنون URL أو جزء المجال من عنوان URL. عادة ما يتم توفير الفئة بواسطة بوابات أمان الويب وتعتمد على محتوى الموقع الذي يشير إليه عنوان URL. مثال: محركات البحث والكبار والأخبار والإعلانات والمجالات المتوقفة. |
| UrlOriginal | اختياري | عنوان URL (سلسلة) | القيمة الأصلية لعنون URL، عندما تم تعديل عنوان URL بواسطة جهاز إعداد التقارير ويتم توفير كلتا القيمتين. |
| HttpVersion | اختياري | سلسلة | إصدار طلب HTTP. على سبيل المثال: 2.0 |
| HttpRequestMethod | اوصت | تعداد | أسلوب HTTP. القيم كما هو محدد في RFC 7231وRFC 5789، وتشمل GETDELETEPOSTHEADCONNECTOPTIONSPUTTRACEو.PATCHعلى سبيل المثال: GET |
| HttpStatusCode | الاسم المستعار | رمز حالة HTTP. الاسم المستعار ل EventResultDetails. | |
| HttpContentType | اختياري | سلسلة | عنوان نوع محتوى استجابة HTTP. ملاحظة: قد يتضمن حقل HttpContentType تنسيق المحتوى والمعلمات الإضافية، مثل الترميز المستخدم للحصول على التنسيق الفعلي. على سبيل المثال: text/html; charset=ISO-8859-4 |
| تنسيق HttpContent | اختياري | سلسلة | جزء تنسيق المحتوى من HttpContentType على سبيل المثال: text/html |
| HttpReferrer | اختياري | سلسلة | عنوان محيل HTTP. ملاحظة: تستخدم ASIM، متزامنة مع OSSEM، التدقيق الإملائي الصحيح للمحيل، وليس التدقيق الإملائي الأصلي لعنوان HTTP. على سبيل المثال: https://developer.mozilla.org/docs |
| HttpUserAgent | اختياري | سلسلة | عنوان عامل مستخدم HTTP. على سبيل المثال: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML، مثل Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| UserAgent | الاسم المستعار | الاسم المستعار ل HttpUserAgent | |
| HttpRequestXff | اختياري | عنوان IP | عنوان HTTP X-Forwarded-For. على سبيل المثال: 120.12.41.1 |
| HttpRequestTime | اختياري | صحيح | مقدار الوقت، بالمللي ثانية، استغرق إرسال الطلب إلى الخادم، إن أمكن. على سبيل المثال: 700 |
| HttpResponseTime | اختياري | صحيح | مقدار الوقت، بالمللي ثانية، استغرق تلقي استجابة في الخادم، إن أمكن. على سبيل المثال: 800 |
| HttpHost | اختياري | سلسلة | خادم الويب الظاهري الذي استهدفه طلب HTTP. تستند هذه القيمة عادة إلى عنوان HTTP Host. |
| Filename | اختياري | سلسلة | بالنسبة لتحميلات HTTP، اسم الملف الذي تم تحميله. |
| FileMD5 | اختياري | MD5 | بالنسبة لتحميلات HTTP، تجزئة MD5 للملف الذي تم تحميله. على سبيل المثال: 75a599802f1fa166cdadb360960b1dd0 |
| FileSHA1 | اختياري | SHA1 | بالنسبة لتحميلات HTTP، تجزئة SHA1 للملف الذي تم تحميله. على سبيل المثال: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| FileSHA256 | اختياري | Sha256 | بالنسبة لتحميلات HTTP، تجزئة SHA256 للملف الذي تم تحميله. على سبيل المثال: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| FileSHA512 | اختياري | SHA512 | بالنسبة لتحميلات HTTP، تجزئة SHA512 للملف الذي تم تحميله. |
| التجزئه | الاسم المستعار | الاسم المستعار لحقل التجزئة المتوفر. | |
| نوع التجزئة | الشرطي | تعداد | نوع التجزئة في حقل التجزئة . تتضمن القيم المحتملة: MD5و SHA256SHA1و و.SHA512 |
| حجم الملفات | اختياري | طويله | بالنسبة لتحميلات HTTP، الحجم بالبايت للملف الذي تم تحميله. |
| FileContentType | اختياري | سلسلة | بالنسبة لتحميلات HTTP، نوع محتوى الملف الذي تم تحميله. |
| HttpCookie | اختياري | سلسلة | محتوى عنوان ملف تعريف ارتباط HTTP المرسل من العميل إلى الخادم، الذي يحتوي على أزواج الاسم والقيمة لبيانات جلسة العمل. على سبيل المثال: session_id=abc123; user_pref=dark_mode |
| HttpIsProxied | اختياري | منطقي | يشير إلى ما إذا كان طلب HTTP قد تم إرساله من خلال خادم وكيل. على سبيل المثال: true |
| HttpRequestBodyBytes | اختياري | طويله | حجم نص طلب HTTP بالبايت، وليس بما في ذلك الرؤوس. على سبيل المثال: 1024 |
| HttpRequestCacheControl | اختياري | سلسلة | محتوى عنوان طلب Cache-Control HTTP، مع تحديد توجيهات التخزين المؤقت من العميل. على سبيل المثال: no-cache |
| HttpRequestHeaderCount | اختياري | صحيح | عدد عناوين HTTP المضمنة في الطلب. على سبيل المثال: 12 |
| HttpResponseBodyBytes | اختياري | طويله | حجم نص استجابة HTTP بالبايت، وليس بما في ذلك الرؤوس. على سبيل المثال: 8192 |
| HttpResponseCacheControl | اختياري | سلسلة | محتوى عنوان استجابة HTTP Cache-Control، مع تحديد توجيهات التخزين المؤقت من الخادم. على سبيل المثال: max-age=3600, public |
| HttpResponseExpires | اختياري | سلسلة | محتوى عنوان استجابة انتهاء صلاحية HTTP، يشير إلى وقت انتهاء صلاحية محتوى الاستجابة. على سبيل المثال: Thu, 01 Dec 2024 16:00:00 GMT |
| HttpResponseHeaderCount | اختياري | صحيح | عدد عناوين HTTP المضمنة في الاستجابة. على سبيل المثال: 15 |
حقول أخرى
إذا تم الإبلاغ عن الحدث بواسطة إحدى نقاط نهاية جلسة الويب، فقد يتضمن معلومات حول العملية التي بدأت الجلسة أو أنهتها. في مثل هذه الحالات، مخطط حدث عملية ASIM لتطبيع هذه المعلومات.
تحديثات المخطط
يعتمد مخطط جلسة ويب على مخطط جلسة الشبكة. لذلك، تنطبق تحديثات مخطط جلسة الشبكة على مخطط جلسة ويب أيضا.
فيما يلي التغييرات في الإصدار 0.2.5 من المخطط:
- تمت إضافة الحقل
HttpHost.
فيما يلي التغييرات في الإصدار 0.2.6 من المخطط:
- تم تغيير نوع FileSize من Integer إلى Long.
فيما يلي التغييرات في الإصدار 0.2.7 من المخطط:
- تمت إضافة الحقول
HttpCookieوHttpIsProxiedHttpRequestBodyBytesوHttpRequestCacheControlوHttpRequestHeaderCountوHttpResponseBodyBytes.HttpResponseHeaderCountHttpResponseCacheControlHttpResponseExpires
الخطوات التالية
لمزيد من المعلومات، اطلع على: