Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Schéma normalizace webové relace se používá k popisu síťové aktivity protokolu IP. Například síťové aktivity PROTOKOLU IP hlásí webové servery, webové proxy servery a brány webového zabezpečení.
Další informace o normalizaci v Microsoft Sentinel najdete v tématech Normalizace a Rozšířený model informací o zabezpečení (ASIM).
Přehled schématu
Schéma normalizace webové relace představuje libovolnou síťovou relaci HTTP a je vhodné k poskytování podpory pro běžné typy zdrojů, mezi které patří:
- Webové servery
- Webové proxy servery
- Brány webového zabezpečení
Schéma webové relace ASIM představuje aktivitu protokolu HTTP a HTTPS. Vzhledem k tomu, že schéma představuje aktivitu protokolu, řídí se dokumenty RFC a oficiálně přiřazenými seznamy parametrů, na které se v případě potřeby odkazuje v tomto článku.
Schéma webové relace nepředstavuje události auditu ze zdrojových zařízení. Například událost, která upravuje zásady brány zabezpečení webu, nemůže být reprezentována schématem webové relace.
Vzhledem k tomu, že relace HTTP jsou relace aplikační vrstvy, které jako podkladovou relaci síťové vrstvy využívají protokol TCP/IP, schéma webové relace je nadmnožinou schématu síťové relace ASIM.
Nejdůležitější pole ve schématu webové relace jsou:
- Adresa URL, která hlásí adresu URL, kterou klient požadoval ze serveru.
- SrcIpAddr (aliasovaný na IpAddr), který představuje IP adresu, ze které byl požadavek vygenerován.
- Pole EventResultDetails , které obvykle hlásí stavový kód HTTP.
Události webové relace mohou také zahrnovat informace o uživateli a procesu pro uživatele a proces, který žádost iniciuje.
Analyzátory
Další informace o analyzátorech ASIM najdete v přehledu analyzátorů ASIM.
Sjednocující analyzátory
Pokud chcete použít analyzátory, které sjednotí všechny předpřipravené analyzátory ASIM a zajistí, aby vaše analýza běžela ve všech nakonfigurovaných zdrojích, použijte _Im_WebSession analyzátor.
Předefinované analyzátory specifické pro zdroj
Seznam analyzátorů webových relací, Microsoft Sentinel poskytuje předobídka, najdete v seznamu analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při implementaci vlastních analyzátorů pro informační model webové relace pojmenujte funkce KQL pomocí následující syntaxe:
-
vimWebSession<vendor><Product>pro parametrizované analyzátory -
ASimWebSession<vendor><Product>pro běžné analyzátory
Filtrování parametrů analyzátoru
Analyzátory im a vim* podporují parametry filtrování. I když jsou tyto analyzátory volitelné, můžou zvýšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name (Název) | Typ | Popis |
|---|---|---|
| Starttime | Datetime | Filtrovat pouze webové relace, které začaly v nebo po této době. Tento parametr filtruje TimeGenerated pole, které je standardním designem pro čas události, bez ohledu na mapování polí EventStartTime a EventEndTime specifické pro analyzátor. |
| Endtime | Datetime | Filtrovat pouze webové relace, které se začaly spouštět v nebo před tímto časem. Tento parametr filtruje TimeGenerated pole, které je standardním designem pro čas události, bez ohledu na mapování polí EventStartTime a EventEndTime specifické pro analyzátor. |
| srcipaddr_has_any_prefix | Dynamické | Filtrovat pouze webové relace, pro které je předpona pole zdrojové IP adresy v jedné z uvedených hodnot. Seznam hodnot může obsahovat IP adresy a předpony IP adres. Předpony by měly končit .na , například: 10.0.. Délka seznamu je omezená na 10 000 položek. |
| ipaddr_has_any_prefix | Dynamické | Filtrovat pouze síťové relace, pro které je pole cílové IP adresy nebo předpona pole zdrojové IP adresy v jedné z uvedených hodnot. Předpony by měly končit .na , například: 10.0.. Délka seznamu je omezená na 10 000 položek.Pole ASimMatchingIpAddr je nastaveno s jednou z hodnot SrcIpAddr, nebo Both tak, DstIpAddraby odráželo odpovídající pole nebo pole. |
| url_has_any | Dynamické | Filtrovat pouze webové relace, pro které pole URL obsahuje některou z uvedených hodnot. Analyzátor může ignorovat schéma adresy URL předané jako parametr, pokud ho zdroj nehlásí. Pokud je zadáno a relace není webová relace, nebude vrácen žádný výsledek. Délka seznamu je omezená na 10 000 položek. |
| httpuseragent_has_any | Dynamické | Filtrovat pouze webové relace, pro které pole uživatelského agenta obsahuje některou z uvedených hodnot. Pokud je zadáno a relace není webová relace, nebude vrácen žádný výsledek. Délka seznamu je omezená na 10 000 položek. |
| eventresultdetails_in | Dynamické | Filtrujte pouze webové relace, pro které je stavový kód HTTP uložený v poli EventResultDetails libovolnou z uvedených hodnot. |
| eventresult | řetězec | Filtrujte pouze síťové relace s konkrétní hodnotou EventResult . |
Některé parametry můžou přijímat jak seznam hodnot typu, dynamic tak jednu řetězcovou hodnotu. Chcete-li předat seznam literálů parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Například: dynamic(['192.168.','10.'])
Pokud například chcete filtrovat jenom webové relace pro zadaný seznam názvů domén, použijte:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Podrobnosti schématu
Informační model webové relace je v souladu se schématem síťové entity OSSEM a schématem entity HTTP OSSEM.
V souladu s oborovými osvědčenými postupy používá schéma webové relace popisovače Src a Dst k identifikaci zdrojového a cílového zařízení relace, aniž by do názvu pole zahrne token Dvc .
Například název hostitele zdrojového zařízení a IP adresa jsou pojmenované SrcHostname a SrcIpAddr , a ne SrcDvcHostname a SrcDvcIpAddr. Předpona Dvc se používá pouze pro sestavy nebo zprostředkující zařízení, pokud je to možné.
Pole, která popisují uživatele a aplikaci přidruženou ke zdrojovému a cílovému zařízení, používají také popisovače Src a Dst .
Jiná schémata ASIM obvykle místo Dst používají Target.
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsána v článku o společných polích ASIM .
Společná pole se specifickými pokyny
V následujícím seznamu jsou uvedena pole, která obsahují konkrétní pokyny pro události webové relace:
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Eventtype | Povinné | Výčtové | Popisuje operaci hlášenou záznamem. Povolené hodnoty jsou: - HTTPsession: Označuje síťovou relaci používanou pro protokol HTTP nebo HTTPS, obvykle hlášenou zprostředkujícím zařízením, jako je proxy server nebo brána webového zabezpečení.- WebServerSession: Označuje požadavek HTTP nahlášený webovým serverem. Taková událost obvykle obsahuje méně informací souvisejících se sítí. Hlášená adresa URL by neměla obsahovat schéma a název serveru, ale pouze část cesty a parametrů adresy URL. - ApiRequest: Označuje požadavek HTTP nahlášený jako přidružený k volání rozhraní API, který obvykle hlásí aplikační server. Taková událost obvykle obsahuje méně informací souvisejících se sítí. Při hlášení aplikačním serverem by hlášená adresa URL neměla obsahovat schéma a název serveru, ale pouze část cesty a parametrů adresy URL. |
| EventResult | Povinné | Výčtové | Popisuje výsledek události normalizovaný na jednu z následujících hodnot: - Success - Partial - Failure - NA (nelze použít) Pro relaci Success HTTP je definován jako stavový kód nižší než 400a Failure je definován jako stavový kód vyšší než 400. Seznam stavových kódů HTTP najdete v tématu W3 Org.Zdroj může poskytnout pouze hodnotu pole EventResultDetails , které je nutné analyzovat, aby se získala hodnota EventResult . |
| EventResultDetails | Doporučené | Výčtové | Stavový kód HTTP definovaný konsorciem World Wide Web Consortium Poznámka: Hodnota může být ve zdrojovém záznamu zadaná pomocí různých termínů, které by měly být normalizovány na tyto hodnoty. Původní hodnota by měla být uložena v poli EventOriginalResultDetails . |
| EventSchema | Povinné | Výčtové | Název zde popsaného schématu je WebSession. |
| EventSchemaVersion | Povinné | SchemaVersion (řetězec) | Verze schématu. Verze zde popsaného schématu je 0.2.7 |
| Pole Dvc | V případě událostí webové relace pole zařízení odkazují na systém, který hlásí událost webové relace. Obvykle se jedná o zprostředkující zařízení pro HTTPSession události a cílový web nebo aplikační server pro WebServerSession události a ApiRequest . |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepisují obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM .
| Třída | Pole |
|---|---|
| Povinné |
-
Počet událostí - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené |
-
EventResultDetails - EventSeverity - Id události - DvcIpAddr - Název hostitele Dvc - Doména dvc - DvcDomainType - DvcFQDN - DvcId - DvcIdType - Akce DvcAction |
| Nepovinný |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník událostí - DvcZone - DvcMacAddr - DvcO - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole síťové relace
Relace HTTP jsou relace aplikační vrstvy, které jako podkladovou relaci síťové vrstvy využívají protokol TCP/IP. Schéma webové relace je nadmnožinou schématu síťové relace ASIM a všechna pole schématu síťového schématu jsou také zahrnuta ve schématu webové relace.
Následující pole schématu síťové relace ASIM mají při použití pro událost webové relace specifické pokyny:
- Alias User by měl odkazovat na SrcUsername a ne na DstUsername.
- Pole EventOriginalResultDetails může kromě stavového kódu HTTP uloženého v EventResultDetails obsahovat jakýkoli výsledek hlášený zdrojem.
- V případě webových relací je primárním cílovým polem pole Url. Doména DstDomain je volitelná, nikoli doporučená. Konkrétně platí, že pokud není k dispozici, není potřeba ho extrahovat z adresy URL v analyzátoru.
- Pole
NetworkRuleNameaNetworkRuleNumberse přejmenujíRuleNameaRuleNumberv uvedeném pořadí.
Události webové relace jsou běžně hlášeny zprostředkujícími zařízeními, která ukončují připojení HTTP z klienta a zahájí nové připojení se serverem, které funguje jako proxy server. Pokud chcete reprezentovat zprostředkující zařízení, použijte pole zprostředkující zařízeníschématu síťové relace ASIM.
Pole relace HTTP
Následují další pole, která jsou specifická pro webové relace:
| :----- | Třída | Typ | Popis |
|---|---|---|---|
| Adresu url | Povinné | Adresa URL (řetězec) | Adresa URL požadavku HTTP včetně parametrů U HTTPSession událostí může adresa URL obsahovat schéma a měla by obsahovat název serveru. Pro WebServerSession a pro ApiRequest adresu URL obvykle neobsahuje schéma a server, které lze najít v NetworkApplicationProtocol polích a DstFQDN v uvedeném pořadí. Například: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | Nepovinný | String | Definované seskupení adresy URL nebo doménové části adresy URL. Tuto kategorii obvykle poskytují brány zabezpečení webu a je založená na obsahu webu, na který adresa URL odkazuje. Příklad: vyhledávací weby, dospělé, zprávy, reklama a zaparkované domény. |
| UrlOriginální | Nepovinný | Adresa URL (řetězec) | Původní hodnota adresy URL, když byla adresa URL změněna zařízením pro vytváření sestav a jsou zadané obě hodnoty. |
| HttpVersion | Nepovinný | String | Verze požadavku HTTP. Například: 2.0 |
| HttpRequestMethod | Doporučené | Výčtové | Metoda HTTP. Hodnoty jsou definovány v dokumentech RFC 7231 a RFC 5789 a zahrnují GET, HEAD, POST, PUT, OPTIONSTRACEDELETECONNECTa .PATCHNapříklad: GET |
| HttpStatusCode | Alias | Stavový kód HTTP. Alias pro EventResultDetails. | |
| HttpContentType | Nepovinný | String | Hlavička typu obsahu odpovědi HTTP. Poznámka: Pole HttpContentType může obsahovat formát obsahu i další parametry, například kódování použité k získání skutečného formátu. Například: text/html; charset=ISO-8859-4 |
| HttpContentFormat | Nepovinný | String | Část formátu obsahu typu HttpContentType Například: text/html |
| HttpReferrer | Nepovinný | String | Hlavička referreru HTTP. Poznámka: ASIM, synchronizovaný s OSSEM, používá správný pravopis pro referrer, a ne původní hlavičku HTTP. Například: https://developer.mozilla.org/docs |
| HttpUserAgent | Nepovinný | String | Hlavička uživatelského agenta HTTP. Příklad: Mozilla/5.0(systém Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, jako Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| Useragent | Alias | Alias pro HttpUserAgent | |
| HttpRequestXff | Nepovinný | IP adresa | Hlavička HTTP X-forwarded-For. Například: 120.12.41.1 |
| HttpRequestTime | Nepovinný | Celé číslo | Doba v milisekundách, kterou trvalo odeslání požadavku na server( pokud je to možné). Například: 700 |
| HttpResponseTime | Nepovinný | Celé číslo | Doba v milisekundách, kterou trvalo přijetí odpovědi na serveru, pokud je to možné. Například: 800 |
| HttpHost | Nepovinný | String | Virtuální webový server, na který cílil požadavek HTTP. Tato hodnota je obvykle založena na hlavičce hostitele HTTP. |
| Název_souboru | Nepovinný | String | V případě nahrání http název nahraného souboru. |
| SouborMD5 | Nepovinný | MD5 | V případě nahrání http použijte hodnotu hash MD5 nahraného souboru. Například: 75a599802f1fa166cdadb360960b1dd0 |
| SouborSHA1 | Nepovinný | SHA1 | V případě nahrání http použijte hodnotu hash SHA1 nahraného souboru. Příklad: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SouborSHA256 | Nepovinný | SHA256 | V případě nahrání http použijte hodnotu hash SHA256 nahraného souboru. Příklad: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SouborSHA512 | Nepovinný | SHA512 | V případě nahrání HTTP použijte hodnotu hash SHA512 nahraného souboru. |
| Hash | Alias | Alias dostupného pole hash. | |
| HashType | Podmíněné | Výčtové | Typ hodnoty hash v poli Hash . Mezi možné hodnoty patří: MD5, SHA1, SHA256a SHA512. |
| Velikost | Nepovinný | Dlouhé | U nahraných souborů HTTP je to velikost nahraného souboru v bajtech. |
| FileContentType | Nepovinný | String | U nahrání http je to typ obsahu nahraného souboru. |
| HttpCookie | Nepovinný | String | Obsah hlavičky souboru cookie HTTP odeslané z klienta na server obsahující páry název-hodnota dat relace. Například: session_id=abc123; user_pref=dark_mode |
| HttpIsProxied | Nepovinný | Boolean | Určuje, jestli byl požadavek HTTP odeslán prostřednictvím proxy serveru. Například: true |
| HttpRequestBodyBytes | Nepovinný | Dlouhé | Velikost textu požadavku HTTP v bajtech, bez hlaviček Například: 1024 |
| HttpRequestCacheControl | Nepovinný | String | Obsah http Cache-Control hlavičku požadavku, která určuje direktivy ukládání do mezipaměti z klienta. Například: no-cache |
| HttpRequestHeaderCount | Nepovinný | Celé číslo | Počet hlaviček HTTP zahrnutých v požadavku. Například: 12 |
| HttpResponseBodyBytes | Nepovinný | Dlouhé | Velikost textu odpovědi HTTP v bajtech, bez hlaviček Například: 8192 |
| HttpResponseCacheControl | Nepovinný | String | Obsah http Cache-Control hlavičku odpovědi, která určuje direktivy ukládání do mezipaměti ze serveru. Například: max-age=3600, public |
| HttpResponseExpires | Nepovinný | String | Obsah hlavičky odpovědi HTTP Vyprší, která označuje, kdy vyprší platnost obsahu odpovědi. Například: Thu, 01 Dec 2024 16:00:00 GMT |
| HttpResponseHeaderCount | Nepovinný | Celé číslo | Počet hlaviček HTTP zahrnutých v odpovědi. Například: 15 |
Další pole
Pokud událost hlásí některý z koncových bodů webové relace, může obsahovat informace o procesu, který relaci zahájil nebo ukončil. V takových případech se tyto informace normalizují pomocí schématu událostí procesu ASIM .
Aktualizace schématu
Schéma webové relace závisí na schématu síťové relace. Aktualizace schématu síťové relace se proto vztahují také na schéma webové relace.
Níže jsou uvedené změny ve verzi 0.2.5 schématu:
- Bylo přidáno pole
HttpHost.
Níže jsou uvedené změny ve verzi 0.2.6 schématu:
- Typ FileSize se změnil z Integer na Long.
Níže jsou uvedené změny ve verzi 0.2.7 schématu:
- Přidání polí
HttpCookie, , ,HttpRequestBodyBytesHttpRequestCacheControl,HttpRequestHeaderCount,HttpResponseBodyBytes,HttpResponseCacheControl, ,HttpResponseExpiresaHttpResponseHeaderCount.HttpIsProxied
Další kroky
Další informace najdete tady: