Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Normaliseringsskemaet for websessionen bruges til at beskrive en IP-netværksaktivitet. Ip-netværksaktiviteter rapporteres f.eks. af webservere, webproxyer og websikkerhedsgateways.
Du kan få flere oplysninger om normalisering i Microsoft Sentinel under Normalisering og ASIM (Advanced Security Information Model).
Skemaoversigt
Normaliseringsskemaet for websessionen repræsenterer alle HTTP-netværkssessioner og er velegnet til at understøtte almindelige kildetyper, herunder:
- Webservere
- Webproxyer
- Websikkerhedsgateways
Skemaet for ASIM-websessionen repræsenterer HTTP- og HTTPS-protokolaktivitet. Da skemaet repræsenterer protokolaktivitet, er det underlagt RFC'er og officielt tildelte parameterlister, som der henvises til i denne artikel, når det er relevant.
Skemaet for websessionen repræsenterer ikke overvågningshændelser fra kildeenheder. En hændelse, der ændrer en websikkerhedsgatewaypolitik, kan f.eks. ikke repræsenteres af websessionsskemaet.
Da HTTP-sessioner er programlagssessioner, der bruger TCP/IP som den underliggende netværkslagssession, er websessionsskemaet et supersæt af ASIM-netværkssessionsskemaet.
De vigtigste felter i et websessionsskema er:
- URL-adresse, der rapporterer den URL-adresse, som klienten anmodede om fra serveren.
- SrcIpAddr (aliasset til IpAddr), som repræsenterer den IP-adresse, som anmodningen blev genereret fra.
- EventResultDetails-feltet , som typisk rapporterer HTTP-statuskoden.
Websessionshændelser kan også omfatte bruger- og procesoplysninger for brugeren og processen til start af anmodningen.
Parsere
Du kan finde flere oplysninger om ASIM-fortolkninger i oversigten over ASIM-fortolkninger.
Forenende fortolkere
Hvis du vil bruge fortolkere, der forener alle ASIM-fortolkninger, der er klar til brug, og sikre, at din analyse kører på tværs af alle de konfigurerede kilder, skal du bruge fortolkeren _Im_WebSession .
Ude af funktion, kildespecifikke fortolkninger
Du kan se listen over fortolkninger af websessionen, Microsoft Sentinel leverer klar til brug, på listen over ASIM-fortolkninger
Tilføj dine egne normaliserede fortolkere
Når du implementerer brugerdefinerede fortolkninger for websessionsoplysningsmodellen, skal du navngive dine KQL-funktioner ved hjælp af følgende syntaks:
-
vimWebSession<vendor><Product>til parametriserede fortolkere -
ASimWebSession<vendor><Product>for almindelige fortolkninger
Filtreringsparserparametre
Fortolkningsparametrene im og vim* understøtter filtreringsparametre. Selvom disse fortolkninger er valgfrie, kan de forbedre din forespørgselsydeevne.
Følgende filtreringsparametre er tilgængelige:
| Navn | Type | Beskrivelse |
|---|---|---|
| Starttidspunkt | Datetime | Filtrer kun websessioner, der startede på eller efter dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| slutklokkeslæt | Datetime | Filtrer kun websessioner, der startede med at køre på eller før dette tidspunkt. Denne parameter filtrerer feltet TimeGenerated , som er standarddesignatoren for tidspunktet for hændelsen, uanset den parserspecifikke tilknytning af felterne EventStartTime og EventEndTime. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrer kun websessioner, hvor præfikset for kildens IP-adresse er i en af de angivne værdier. Listen over værdier kan indeholde IP-adresser og præfikser for IP-adresser. Præfikser skal slutte med en ., f.eks.: 10.0.. Længden af listen er begrænset til 10.000 elementer. |
| ipaddr_has_any_prefix | Dynamisk | Filtrer kun de netværkssessioner, hvor destinations-IP-adressefeltet eller kildens IP-adressefeltpræfiks findes i en af de angivne værdier. Præfikser skal slutte med en ., f.eks.: 10.0.. Længden af listen er begrænset til 10.000 elementer.Feltet ASimMatchingIpAddr er angivet med en af værdierne SrcIpAddr, DstIpAddreller Both for at afspejle de tilsvarende felter eller felter. |
| url_has_any | Dynamisk | Filtrer kun websessioner, hvor URL-feltet har en af de angivne værdier. Fortolkeren ignorerer muligvis skemaet for den URL-adresse, der overføres som en parameter, hvis kilden ikke rapporterer den. Hvis det er angivet, og sessionen ikke er en websession, returneres der ikke noget resultat. Længden af listen er begrænset til 10.000 elementer. |
| httpuseragent_has_any | Dynamisk | Filtrer kun websessioner, hvor brugeragentfeltet har nogen af de angivne værdier. Hvis det er angivet, og sessionen ikke er en websession, returneres der ikke noget resultat. Længden af listen er begrænset til 10.000 elementer. |
| eventresultdetails_in | Dynamisk | Filtrer kun websessioner, hvor HTTP-statuskoden, der er gemt i feltet EventResultDetails , er en af de angivne værdier. |
| eventresult | Streng | Filtrer kun netværkssessioner med en bestemt EventResult-værdi . |
Nogle parametre kan acceptere begge lister med værdier af typen dynamic eller en enkelt strengværdi. Hvis du vil overføre en konstantliste til parametre, der forventer en dynamisk værdi, skal du eksplicit bruge en dynamisk konstant. For eksempel: dynamic(['192.168.','10.'])
Hvis du f.eks. kun vil filtrere websessioner efter en angivet liste over domænenavne, skal du bruge:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Skemadetaljer
Websessionsoplysningsmodellen er justeret i forhold til OSSEM Network-enhedsskemaet og OSSEM HTTP-enhedsskemaet.
For at overholde branchens bedste fremgangsmåder bruger websessionsskemaet beskrivelserne Src og Dst til at identificere sessionskilden og destinationsenhederne uden at medtage tokenets Dvc i feltnavnet.
Derfor hedder kildeenhedens værtsnavn og IP-adresse f.eks. henholdsvis SrcHostname og SrcIpAddr og ikke SrcDvcHostname og SrcDvcIpAddr. Præfikset Dvc bruges kun til rapporterings- eller mellemliggende enhed, hvis det er relevant.
Felter, der beskriver den bruger og det program, der er knyttet til kilde- og destinationsenhederne, bruger også Src - og Dst-beskrivelserne .
Andre ASIM-skemaer bruger typisk Target i stedet for Dst.
Almindelige ASIM-felter
Vigtigt!
Felter, der er fælles for alle skemaer, er beskrevet detaljeret i artiklen Almindelige ASIM-felter .
Almindelige felter med specifikke retningslinjer
På følgende liste nævnes felter, der har specifikke retningslinjer for websessionshændelser:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| EventType | Obligatorisk | Optalt | Beskriver den handling, der er rapporteret af posten. Tilladte værdier er: - HTTPsession: Angiver en netværkssession, der bruges til HTTP eller HTTPS, som typisk rapporteres af en mellemliggende enhed, f.eks. en proxy eller en websikkerhedsgateway.- WebServerSession: Angiver en HTTP-anmodning, der er rapporteret af en webserver. En sådan hændelse har typisk færre netværksrelaterede oplysninger. Den rapporterede URL-adresse skal ikke indeholde et skema og et servernavn, men kun stien og parameterdelen af URL-adressen. - ApiRequest: Angiver en HTTP-anmodning, der er rapporteret knyttet til et API-kald, som typisk rapporteres af en programserver. En sådan hændelse har typisk færre netværksrelaterede oplysninger. Når den rapporterede URL-adresse rapporteres af programserveren, skal den ikke indeholde et skema og et servernavn, men kun stien og parametrene i URL-adressen. |
| EventResult | Obligatorisk | Optalt | Beskriver hændelsesresultatet, normaliseret til en af følgende værdier: - Success - Partial - Failure - NA (ikke relevant) For en HTTP-session defineres som en statuskode, Success der er lavere end 400, og Failure er defineret som en statuskode, der er højere end 400. Du kan finde en liste over HTTP-statuskoder i W3 Org.Kilden må kun angive en værdi for feltet EventResultDetails , som skal analyseres for at hente værdien EventResult . |
| EventResultDetails | Anbefalede | Optalt | HTTP-statuskoden som defineret af World Wide Web Consortium Bemærk! Værdien kan angives i kildeposten ved hjælp af forskellige ord, som skal normaliseres til disse værdier. Den oprindelige værdi skal gemmes i feltet EventOriginalResultDetails . |
| EventSchema | Obligatorisk | Optalt | Navnet på skemaet, der er dokumenteret her, er WebSession. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versionen af skemaet. Den version af skemaet, der er dokumenteret her, er 0.2.7 |
| Dvc-felter | I forbindelse med websessionshændelser henviser enhedsfelter til det system, der rapporterer websessionshændelsen. Dette er typisk en mellemliggende enhed for HTTPSession hændelser og destinationsweb- eller programserveren for WebServerSession hændelserne og ApiRequest . |
Alle almindelige felter
Felter, der vises i nedenstående tabel, er fælles for alle ASIM-skemaer. Alle retningslinjer, der er angivet ovenfor, tilsidesætter de generelle retningslinjer for feltet. Et felt kan f.eks. være valgfrit generelt, men obligatorisk for et bestemt skema. Du kan finde flere oplysninger om hvert felt i artiklen Almindelige ASIM-felter .
| Klasse | Felter |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalede |
-
EventResultDetails - EventSeverity - Hændelses-UID - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfrit |
-
Hændelsesmeddelelse - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Hændelsesejer - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Netværkssessionsfelter
HTTP-sessioner er programlagssessioner, der bruger TCP/IP som den underliggende netværkslagssession. Websessionsskemaet er et supersæt af ASIM-netværkssessionsskemaer , og alle netværksskemafelterne er også inkluderet i websessionsskemaet.
Følgende skemafelter for ASIM-netværkssessionen har specifikke retningslinjer, når de bruges til en websessionshændelse:
- Aliasbrugeren skal referere til SrcUsername og ikke til DstUsername.
- Feltet EventOriginalResultDetails kan indeholde et hvilket som helst resultat, der rapporteres af kilden, ud over den HTTP-statuskode, der er gemt i EventResultDetails.
- For websessioner er det primære destinationsfelt URL-feltet. DstDomain er valgfrit i stedet for anbefalet. Hvis den ikke er tilgængelig, er det ikke nødvendigt at udtrække den fra URL-adressen i fortolkeren.
-
NetworkRuleNameFelterne ogNetworkRuleNumberomdøbesRuleNameogRuleNumberhenholdsvis.
Websessionshændelser rapporteres ofte af mellemliggende enheder, der afslutter HTTP-forbindelsen fra klienten og starter en ny forbindelse, der fungerer som proxy, med serveren. Hvis du vil repræsentere den mellemliggende enhed, skal du bruge skemaet ASIM-netværkssessionmellemliggende enhed
HTTP-sessionsfelter
Følgende er yderligere felter, der er specifikke for websessioner:
| Feltet | Klasse | Type | Beskrivelse |
|---|---|---|---|
| Url | Obligatorisk | URL-adresse (streng) | URL-adressen til HTTP-anmodningen, herunder parametre. For HTTPSession hændelser kan URL-adressen indeholde skemaet og skal indeholde servernavnet. For WebServerSession og for ApiRequest URL-adressen vil typisk ikke indeholde skemaet og serveren, som findes i NetworkApplicationProtocol felterne og DstFQDN . Eksempel: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | Valgfrit | String | Den definerede gruppering af en URL-adresse eller domænedelen af URL-adressen. Kategorien leveres ofte af websikkerhedsgateways og er baseret på indholdet af det websted, URL-adressen peger på. Eksempel: søgemaskiner, voksne, nyheder, reklame og parkerede domæner. |
| UrlOriginal | Valgfrit | URL-adresse (streng) | Den oprindelige værdi for URL-adressen, da URL-adressen blev ændret af rapporteringsenheden, og begge værdier angives. |
| HttpVersion | Valgfrit | String | HTTP-anmodningsversionen. Eksempel: 2.0 |
| HttpRequestMethod | Anbefalede | Optalt | HTTP-metoden. Værdierne er som defineret i RFC 7231 og RFC 5789 og omfatter GET, HEAD, POST, PUTDELETE, CONNECT, OPTIONS, , TRACEog PATCH.Eksempel: GET |
| HttpStatusCode | Alias | HTTP-statuskoden. Alias til EventResultDetails. | |
| HttpContentType | Valgfrit | String | Headeren for HTTP-svarindholdstypen. Bemærk! Feltet HttpContentType kan indeholde både indholdsformat og ekstra parametre, f.eks. den kodning, der bruges til at hente det faktiske format. Eksempel: text/html; charset=ISO-8859-4 |
| HttpContentFormat | Valgfrit | String | Indholdsformatdelen af HttpContentType Eksempel: text/html |
| HttpReferrer | Valgfrit | String | HTTP-henviserheaderen. Bemærk! ASIM bruger den korrekte stavning til referer og ikke den oprindelige HTTP-header til stavekontrol, når det er synkroniseret med OSSEM. Eksempel: https://developer.mozilla.org/docs |
| HttpUserAgent | Valgfrit | String | HTTP-brugeragentheaderen. Eksempel: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, ligesom Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| Useragent | Alias | Alias til HttpUserAgent | |
| HttpRequestXff | Valgfrit | IP-adresse | HTTP X-Forwarded-For-headeren. Eksempel: 120.12.41.1 |
| HttpRequestTime | Valgfrit | Heltal | Den tid i millisekunder, det tog at sende anmodningen til serveren, hvis det er relevant. Eksempel: 700 |
| HttpResponseTime | Valgfrit | Heltal | Den mængde tid i millisekunder, det tog at modtage et svar på serveren, hvis det er relevant. Eksempel: 800 |
| HttpHost | Valgfrit | String | Den virtuelle webserver, som HTTP-anmodningen har målrettet. Denne værdi er typisk baseret på HTTP-værtsheaderen. |
| Filnavn | Valgfrit | String | I forbindelse med HTTP-overførsler er navnet på den overførte fil. |
| FileMD5 | Valgfrit | MD5 | MD5-hashen for den overførte fil for HTTP-overførsler. Eksempel: 75a599802f1fa166cdadb360960b1dd0 |
| FileSHA1 | Valgfrit | SHA1 | Sha1-hashen for den overførte fil for HTTP-overførsler. Eksempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| FileSHA256 | Valgfrit | SHA256 | Sha256-hashen for den overførte fil for HTTP-overførsler. Eksempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| FileSHA512 | Valgfrit | SHA512 | Sha512-hashen for den overførte fil for HTTP-overførsler. |
| Hash | Alias | Alias til det tilgængelige hashfelt. | |
| HashType | Betinget | Optalt | Hashtypen i feltet Hash . De mulige værdier omfatter: MD5, SHA1, SHA256og SHA512. |
| Filstørrelse | Valgfrit | Lang | Størrelsen i byte på den overførte fil for HTTP-overførsler. |
| FileContentType | Valgfrit | String | I forbindelse med HTTP-overførsler er indholdstypen for den overførte fil. |
| HttpCookie | Valgfrit | String | Indholdet af HTTP-cookieheaderen, der er sendt fra klienten til serveren, og som indeholder sessionsdatapar med navneværdi. Eksempel: session_id=abc123; user_pref=dark_mode |
| HttpIsProxied | Valgfrit | Boolesk | Angiver, om HTTP-anmodningen blev sendt via en proxyserver. Eksempel: true |
| HttpRequestBodyBytes | Valgfrit | Lang | Størrelsen af HTTP-anmodningens brødtekst i byte, ikke inklusive headere. Eksempel: 1024 |
| HttpRequestCacheControl | Valgfrit | String | Indholdet af HTTP-Cache-Control anmodningsheader, der angiver cachelagringsdirektiver fra klienten. Eksempel: no-cache |
| HttpRequestHeaderCount | Valgfrit | Heltal | Antallet af HTTP-headere, der er inkluderet i anmodningen. Eksempel: 12 |
| HttpResponseBodyBytes | Valgfrit | Lang | Størrelsen af HTTP-svarbrødteksten i byte, ikke inklusive headere. Eksempel: 8192 |
| HttpResponseCacheControl | Valgfrit | String | Indholdet af HTTP-Cache-Control svarheader, der angiver cachelagringsdirektiver fra serveren. Eksempel: max-age=3600, public |
| HttpResponseExpires | Valgfrit | String | Indholdet af HTTP Expires-svarheaderen, der angiver, hvornår svarindholdet udløber. Eksempel: Thu, 01 Dec 2024 16:00:00 GMT |
| Antal HttpResponseHeader | Valgfrit | Heltal | Antallet af HTTP-headere, der er inkluderet i svaret. Eksempel: 15 |
Andre felter
Hvis hændelsen rapporteres af et af slutpunkterne for websessionen, kan den indeholde oplysninger om den proces, der startede eller afsluttede sessionen. I sådanne tilfælde er asim-proceshændelsesskemaet for at normalisere disse oplysninger.
Skemaopdateringer
Websessionsskemaet er afhængig af skemaet for netværkssessionen. Derfor gælder skemaopdateringer til netværkssession også for websessionsskemaet.
Følgende er ændringerne i version 0.2.5 af skemaet:
- Feltet
HttpHoster tilføjet.
Følgende er ændringerne i version 0.2.6 af skemaet:
- Filtypen FileSize blev ændret fra Heltal til Lang.
Følgende er ændringerne i version 0.2.7 af skemaet:
- Felterne
HttpCookie,HttpIsProxied,HttpRequestBodyBytes,HttpRequestCacheControl,HttpRequestHeaderCount,HttpResponseBodyBytes,HttpResponseCacheControl,HttpResponseExpires, ogHttpResponseHeaderCount.
Næste trin
Du kan finde flere oplysninger under: