הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
סכימת הנורמלית של הפעלת האינטרנט משמשת לתיאור פעילות של רשת IP. לדוגמה, פעילויות רשת IP מדווחות על-ידי שרתי אינטרנט, שרתי Proxy של אינטרנט ושערים לאבטחת אינטרנט.
לקבלת מידע נוסף אודות נרמול ב- Microsoft Sentinel, ראה נרמול ומודל מידע אבטחה מתקדם (ASIM).
מבט כולל על סכימה
סכימת הנורמלית של הפעלת האינטרנט מייצגת כל הפעלת רשת HTTP, ומתאימה לספק תמיכה בסוגי מקור נפוצים, כולל:
- שרתי אינטרנט
- שרתי Proxy של אינטרנט
- שערי אבטחת אינטרנט
סכימת הפעלת האינטרנט של ASIM מייצגת פעילות פרוטוקול HTTP ו- HTTPS. מאחר שהסכימה מייצגת פעילות פרוטוקול, היא כפופה ל- RFCs ולרשימות פרמטרים שהוקצו באופן רשמי, המוזכרות במאמר זה בעת הצורך.
סכימת הפעלת האינטרנט אינה מייצגת אירועי ביקורת מהתקני מקור. לדוגמה, אירוע המשנה מדיניות של שער אבטחת אינטרנט אינו יכול להיות מיוצג על-ידי סכימת הפעלת האינטרנט.
מאחר שהפעלות HTTP הן הפעלות שכבת יישום המשתמשות ב- TCP/IP כהפעלת שכבת הרשת המשמשת כברירת מחדל, סכימת הפעלת האינטרנט היא ערכת-על של סכימת הפעלת הרשת של ASIM.
השדות החשובים ביותר בסכימה של הפעלת אינטרנט הם:
- כתובת URL, אשר מדווחת על כתובת ה- URL שהלקוח ביקש מהשרת.
- SrcIpAddr (כינוי ל- IpAddr), המייצג את כתובת ה- IP שממנה נוצרה הבקשה.
- השדה EventResultDetails , אשר מדווח בדרך כלל על קוד מצב HTTP.
אירועי הפעלת אינטרנט עשויים לכלול גםפרטי משתמש ותהליך עבור המשתמש ותהליך אתחול הבקשה.
מנתחי מבנה טקסט
לקבלת מידע נוסף אודות מנתחי ASIM, עיין במבט כולל על מנתחי ASIM.
אחד מנתחים
כדי להשתמש במנתחים שמקשרים את כל מנתחי ה- ASIM הזמינים לשימוש, ומבטיחים שהניתוח שלך יתבצע בכל המקורות שתצורתם נקבעה, _Im_WebSession השתמש במנתח.
מנתחים מוגנים, ספציפיים למקור
לקבלת הרשימה של מנתחי הפעלת Microsoft Sentinel מספקת מידע מחוץ לתיבה עיין ברשימה מנתחי ASIM
הוספת מנתחים מנומולים משלך
בעת יישום מנתחים מותאמים אישית עבור מודל המידע של הפעלת האינטרנט, תן שם לפונקציות KQL באמצעות התחביר הבא:
-
vimWebSession<vendor><Product>עבור מנתחים מנוטעים -
ASimWebSession<vendor><Product>עבור מנתחים רגילים
סינון פרמטרים של מנתח
המנתחים imvim* ומנתחי הטקסט תומכים בפרמטרים של סינון. בעוד מנתחים אלה הם אופציונליים, הם יכולים לשפר את ביצועי השאילתה שלך.
הפרמטרים הבאים לסינון זמינים:
| Name | סוג | תיאור |
|---|---|---|
| זמן התחלה | Datetime | סנן רק הפעלות אינטרנט שהופעלו בשעה זו או לאחר מכן. פרמטר TimeGenerated זה מסנן בשדה, שהוא המציין הסטנדרטי עבור מועד האירוע, ללא קשר למיפוי הספציפי למנתח של השדות EventStartTime ו- EventEndTime. |
| שעת סיום | Datetime | סנן רק הפעלות אינטרנט שהתחלת לפעול בשעה זו או לפניה. פרמטר TimeGenerated זה מסנן בשדה, שהוא המציין הסטנדרטי עבור מועד האירוע, ללא קשר למיפוי הספציפי למנתח של השדות EventStartTime ו- EventEndTime. |
| srcipaddr_has_any_prefix | דינמי | סנן רק הפעלות אינטרנט שעבורן קידומת שדה כתובת ה- IP המהווה מקור נמצאת באחד מהערכים המפורטים. רשימת הערכים יכולה לכלול כתובות IP וקידומות של כתובות IP. קידומות צריכות להסתיים ב- ., לדוגמה: 10.0.. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| ipaddr_has_any_prefix | דינמי | סנן רק הפעלות רשת שעבורן שדה כתובת ה- IP המהווה יעד או קידומת שדה של כתובת IP המשמשת כמקור מופיעים באחד מהערכים המפורטים. קידומות צריכות להסתיים ב- ., לדוגמה: 10.0.. אורך הרשימה מוגבל ל- 10,000 פריטים.השדה ASimMatchingIpAddr SrcIpAddrמוגדר עם אחד הערכים , או DstIpAddrBoth כדי לשקף את השדות או השדות התואמים. |
| url_has_any | דינמי | סנן רק הפעלות אינטרנט שעבורן שדה כתובת ה- URL כולל את הערכים המפורטים. המנתח עשוי להתעלם מסכימה של כתובת ה- URL שהועברה מפרמטר, אם המקור אינו מדווח על כך. אם צוין, וההפעלה אינה הפעלת אינטרנט, לא תוחזר תוצאה. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| httpuseragent_has_any | דינמי | סנן רק הפעלות אינטרנט שעבורן השדה 'סוכן משתמש ' כולל את הערכים המפורטים. אם צוין, וההפעלה אינה הפעלת אינטרנט, לא תוחזר תוצאה. אורך הרשימה מוגבל ל- 10,000 פריטים. |
| eventresultdetails_in | דינמי | סנן רק הפעלות אינטרנט שעבורן קוד מצב HTTP, המאוחסן בשדה EventResultDetails , הוא כל אחד מהערכים המפורטים. |
| eventresult | מחרוזת | סנן רק הפעלות רשת עם ערך EventResult ספציפי . |
פרמטר מסוים יכול לקבל הן את רשימת הערכים מסוג והן dynamic ערך מחרוזת בודד. כדי להעביר רשימה מילולית לפרמטרים המצפים לערך דינאמי, השתמש באופן מפורש בליטרלי דינאמי. לדוגמה: dynamic(['192.168.','10.'])
לדוגמה, כדי לסנן הפעלות אינטרנט בלבד עבור רשימה שצוינה של שמות תחומים, השתמש ב:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
פרטי סכימה
מודל המידע של הפעלת האינטרנט מיושר עם סכימת ישות הרשת של OSSEM והסכימה של ישות HTTP של OSSEM.
כדי להתנהל בשיטות עבודה מומלצות בתעשייה, סכימת הפעלת האינטרנט משתמשת במתארים Src וב- Dst כדי לזהות את התקני מקור ההפעלה והיעד, מבלי לכלול את ה- Dvc של האסימון בשם השדה.
לכן, לדוגמה, שם המחשב המארח וכתובת ה- IP של מכשיר המקור נקראים SrcHostname ו- SrcIpAddr בהתאמה, ולא SrcDvcHostname ו - SrcDvcIpAddr. הקידומת Dvc משמשת רק לדיווח או למכשיר המתווך, בהתאם לצורך.
שדות המתארים את המשתמש והיישום המשויכים להתקני המקור והיעד משתמשים גם במתארי Srcו- Dst .
סכימות ASIM אחרות משתמשות בדרך כלל ביעד במקום ב- Dst.
שדות ASIM נפוצים
חשוב
שדות המשותפים לכל הסכימות מתוארים בפירוט במאמר שדות משותפים של ASIM .
שדות משותפים עם קווים מנחים ספציפיים
הרשימה הבאה מציינת שדות הכוללים קווים מנחים ספציפיים עבור אירועי הפעלת אינטרנט:
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| סוג אירוע | חובה | ספירה | מתאר את הפעולה שדווחה על-ידי הרשומה. הערכים המותרים הם: - HTTPsession: מציין הפעלת רשת המשמשת עבור HTTP או HTTPS, שדווחה בדרך כלל על-ידי התקן ביניים, כגון Proxy או שער אבטחת אינטרנט.- WebServerSession: מציין בקשת HTTP שדווחה על-ידי שרת אינטרנט. אירוע כזה כולל בדרך כלל פחות מידע הקשור לרשת. כתובת ה- URL שדווחה אינה יכולה לכלול סכימה ושם שרת, אלא רק את הנתיב והפרמטרים של כתובת ה- URL. - ApiRequest: מציין בקשת HTTP שדווחה המשויכת לשיחת API, שדווחה בדרך כלל על-ידי שרת יישומים. אירוע כזה כולל בדרך כלל פחות מידע הקשור לרשת. כאשר שרת היישומים דיווח על כך, כתובת ה- URL המדווחת אינה אמורה לכלול סכימה ושם שרת, אלא רק את הנתיב והפרמטרים של כתובת ה- URL. |
| EventResult | חובה | ספירה | מתאר את תוצאת האירוע, מנורמה לאחד מהערכים הבאים: - Success - Partial - Failure - NA (לא ישים) עבור הפעלת HTTP, Success מוגדר כקוד מצב 400נמוך מ- , Failure והוא מוגדר כקוד מצב הגבוה מ- 400. לקבלת רשימה של קודי מצב של HTTP, ראה W3 Org.המקור עשוי לספק רק ערך עבור השדה EventResultDetails , שיש לנתח כדי לקבל את הערך EventResult . |
| EventResultDetails | מומלץ | ספירה | קוד המצב של HTTP כפי שהוגדר על-ידי The World Wide Web Consortium הערה: ייתכן שהערך יצוין ברשומת המקור תוך שימוש במונחים שונים, שיש לנוירמול לערכים אלה. יש לאחסן את הערך המקורי בשדה EventOriginalResultDetails . |
| מסת אירוע | חובה | ספירה | שם הסכימה התהמסמכים כאן הוא WebSession. |
| לוח אירועים | חובה | SchemaVersion (מחרוזת) | גירסת הסכימה. גירסת הסכימה התהמסמכים כאן היא 0.2.7 |
| שדות Dvc | עבור אירועי הפעלת אינטרנט, שדות מכשירים מתייחסים לאירוע הפעלת האינטרנט של דיווח המערכת. זהו בדרך כלל התקן ביניים עבור אירועים HTTPSession , ואת שרת האינטרנט או היישומים המשמש כיעד עבור WebServerSession אירועים ApiRequest . |
כל השדות המשותפים
שדות המופיעים בטבלה שלהלן משותפים לכל סכימות ה- ASIM. כל קו מנחה שצוין לעיל עוקף את הקווים המנחים הכלליים עבור השדה. לדוגמה, שדה עשוי להיות אופציונלי באופן כללי, אך הכרחי עבור סכימה ספציפית. לקבלת פרטים נוספים על כל שדה, עיין במאמר שדות משותפים של ASIM .
| מחלקה | שדות |
|---|---|
| חובה |
-
מספר אירועים - EventStartTime - EventEndTime - סוג אירוע - EventResult - EventProduct - אירועים ודור - מסת אירוע - לוח אירועים - Dvc (Dvc) |
| מומלץ |
-
EventResultDetails - תם האירוע - EventUid - DvcIpAddr - DvcHostname - DvcDomain - סוג DvcDomain - DvcFQDN - מזהה DvcId - סוג DvcId - DvcAction |
| אופציונלי |
-
הודעת אירוע - סוג אירוע - EventOriginalUid - סוג אירועאוריגינאלי - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - לוח אירועים - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - שדות נוספים - DvcDescription - DvcScopeId - DvcScope |
שדות הפעלת רשת
הפעלות HTTP הן הפעלות שכבת יישום המשתמשות ב- TCP/IP כהפעלת שכבת הרשת המשמשת כברירת מחדל. סכימת הפעלת האינטרנט היא קבוצה כוללת של סכימת הפעלת רשת של ASIM וכל שדות סכימת הרשת כלולים גם בסכימה של הפעלת האינטרנט.
שדות הסכימה הבאים של הפעלת רשת ASIM כוללים קווים מנחים ספציפיים בעת שימוש עבור אירוע הפעלת אינטרנט:
- הכינוי משתמש צריך להפנות ל- SrcUsername ולא ל - DstUsername.
- השדה EventOriginalResultDetails יכול להכיל כל תוצאה שדווחה על-ידי המקור בנוסף לקוד המצב של HTTP המאוחסן ב- EventResultDetails.
- עבור הפעלות אינטרנט, שדה היעד הראשי הוא שדה כתובת ה- URL. DstDomain הוא אופציונלי ולא מומלץ. באופן ספציפי, אם הוא אינו זמין, אין צורך לחלץ אותו מכתובת ה- URL במנתח.
- שמם של השדות
NetworkRuleNameNetworkRuleNumberמשתנהRuleNameובהתאמהRuleNumber.
אירועים של הפעלת אינטרנט מדווחים בדרך כלל על-ידי התקני ביניים שמסתיימת את חיבור ה- HTTP מהלקוח ומשתמשים בחיבור חדש, הפועל כ- Proxy, עם השרת. כדי לייצג את התקן הביניים, השתמש בשדות ההתקן המתווך של סכימת הפעלת רשת ASIM
שדות הפעלת HTTP
להלן שדות נוספים ספציפיים להפעלות אינטרנט:
| שדה | מחלקה | סוג | תיאור |
|---|---|---|---|
| כתובת url | חובה | כתובת URL (מחרוזת) | כתובת ה- URL של בקשת HTTP, כולל פרמטרים. עבור HTTPSession אירועים, כתובת ה- URL עשויה לכלול את הסכימה ולכלול את שם השרת. עבור WebServerSession ו עבור כתובת ApiRequest ה- URL לא יכללו בדרך כלל את הסכימה ואת השרת, שניתן למצוא בשדות NetworkApplicationProtocol ובשדות DstFQDN בהתאמה. דוגמה https://contoso.com/fo/?k=v&q=u#f |
| קטגוריית כתובת URL | אופציונלי | מחרוזת | הקיבוץ המוגדר של כתובת URL או חלק התחום של כתובת ה- URL. הקטגוריה מסופקת בדרך כלל על-ידי שערי אבטחה באינטרנט, והיא מבוססת על תוכן האתר שכתובת ה- URL מצביעה עליו. דוגמה: מנועי חיפוש, מבוגרים, חדשות, פרסום ותחומים חונים. |
| כתובת URLאוריגינאמית | אופציונלי | כתובת URL (מחרוזת) | הערך המקורי של כתובת ה- URL, כאשר כתובת ה- URL שונתה על-ידי התקן הדיווח ומסופקים שני הערכים. |
| HttpVersion | אופציונלי | מחרוזת | גירסת בקשת HTTP. דוגמה 2.0 |
| HttpRequestMethod | מומלץ | ספירה | שיטת HTTP. הערכים מוגדרים ב- RFC 7231 וב- RFC 5789 וכוללים GETאת , HEAD, POST, PUT, , DELETECONNECT, OPTIONS, TRACE, ו- PATCH.דוגמה GET |
| קוד HttpStatus | כינוי | קוד מצב HTTP. Alias to EventResultDetails. | |
| HttpContentType | אופציונלי | מחרוזת | כותרת סוג התוכן של תגובת HTTP. הערה: השדה HttpContentType עשוי לכלול הן את תבנית התוכן והן פרמטרים נוספים, כגון הקידוד המשמש לקבלת התבנית בפועל. דוגמה text/html; charset=ISO-8859-4 |
| HttpContentFormat | אופציונלי | מחרוזת | חלק תבנית התוכן של HttpContentType דוגמה text/html |
| HttpReferrer | אופציונלי | מחרוזת | הכותרת של מפנה HTTP. הערה: ASIM, בסינכרון עם OSSEM, משתמש באיות הנכונה עבור מפנים, ולא בבדיקת האיות המקורית של כותרת HTTP. דוגמה https://developer.mozilla.org/docs |
| HttpUserAgent | אופציונלי | מחרוזת | הכותרת של סוכן משתמש HTTP. דוגמה: Mozilla/5.0 (Windows NT 10.0; תם ההון וההתנוות וההתAppleWebKit/537.36 (KHTML, כמו Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| UserAgent | כינוי | כינוי ל - HttpUserAgent | |
| HttpRequestXff | אופציונלי | כתובת IP | הכותרת HTTP X-Forwarded-For. דוגמה 120.12.41.1 |
| זמן HttpRequest | אופציונלי | מספר שלם | משך הזמן, באלפיות שניה, שנדרש כדי לשלוח את הבקשה לשרת, במידת הצורך. דוגמה 700 |
| HttpResponseTime | אופציונלי | מספר שלם | משך הזמן, באלפיות שניה, שנדרשה כדי לקבל תגובה בשרת, במידת הצורך. דוגמה 800 |
| אירוח HttpHost | אופציונלי | מחרוזת | שרת האינטרנט הווירטואלי שבו בקשת HTTP ייעדה. ערך זה מבוסס בדרך כלל על הכותרת HTTP Host. |
| Filename | אופציונלי | מחרוזת | עבור העלאות HTTP, שם הקובץ שהועלה. |
| קובץMD5 | אופציונלי | MD5 | עבור העלאות HTTP, קוד ה- Hash של MD5 של הקובץ שהועלה. דוגמה 75a599802f1fa166cdadb360960b1dd0 |
| קובץSHA1 | אופציונלי | שער 1 | עבור העלאות HTTP, קוד ה- Hash של SHA1 של הקובץ שהועלה. דוגמה: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| קובץSHA256 | אופציונלי | עדי תם | עבור העלאות HTTP, קוד ה- Hash של SHA256 של הקובץ שהועלה. דוגמה: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| קובץSHA512 | אופציונלי | עדי תם | עבור העלאות HTTP, קוד ה- Hash של SHA512 של הקובץ שהועלה. |
| Hash | כינוי | כינוי לשדה Hash הזמין. | |
| סוג Hash | מותנה | ספירה | סוג קוד ה- Hash בשדה Hash . הערכים האפשריים כוללים: MD5, SHA1, SHA256, ו- SHA512. |
| גודל קובץ | אופציונלי | זמן | עבור העלאות HTTP, הגודל בבתים של הקובץ שהועלה. |
| FileContentType | אופציונלי | מחרוזת | עבור העלאות HTTP, סוג התוכן של הקובץ שהועלה. |
| HttpCookie | אופציונלי | מחרוזת | התוכן של כותרת קובץ ה- Cookie של HTTP שנשלח מהלקוח לשרת, המכיל זוגות שם-ערך של נתוני הפעלה. דוגמה session_id=abc123; user_pref=dark_mode |
| HttpIsProxied | אופציונלי | בוליאני | מציין אם בקשת HTTP נשלחה דרך שרת Proxy. דוגמה true |
| HttpRequestBodyBytes | אופציונלי | זמן | הגודל של גוף בקשת HTTP בבתים, לא כולל כותרות. דוגמה 1024 |
| HttpRequestCacheControl | אופציונלי | מחרוזת | התוכן של כותרת הבקשה Cache-Control HTTP, המציין התראות אחסון במטמון מהלקוח. דוגמה no-cache |
| חשבון HttpRequestHeader | אופציונלי | מספר שלם | מספר כותרות HTTP הכלולות בבקשה. דוגמה 12 |
| HttpResponseBodyBytes | אופציונלי | זמן | גודל גוף התגובה של HTTP בבתים, לא כולל כותרות. דוגמה 8192 |
| HttpResponseCacheControl | אופציונלי | מחרוזת | התוכן של HTTP Cache-Control תגובה, המציין התראות אחסון במטמון מהשרת. דוגמה max-age=3600, public |
| HttpResponseExpires | אופציונלי | מחרוזת | התוכן של כותרת התגובה HTTP פג, המציין מתי פג התוקף של תוכן התגובה. דוגמה Thu, 01 Dec 2024 16:00:00 GMT |
| חשבון HttpResponseHeader | אופציונלי | מספר שלם | מספר כותרות HTTP הכלולות בתגובה. דוגמה 15 |
שדות אחרים
אם האירוע מדווח על-ידי אחת מ נקודות הקצה של הפעלת האינטרנט, הוא עשוי לכלול מידע אודות התהליך שהפעל או סיים את ההפעלה. במקרים כאלה, סכימת אירוע התהליך של ASIM לרגיל מידע זה.
עדכוני סכימה
סכימת הפעלת האינטרנט מסתמכת על סכימת הפעלת הרשת. לכן, עדכוני סכימת הפעלת רשת חלים גם על סכימת הפעלת האינטרנט.
להלן השינויים בגירסה 0.2.5 של הסכימה:
- נוסף השדה
HttpHost.
להלן השינויים בגירסה 0.2.6 של הסכימה:
- סוג FileSize השתנה מ'מספר שלם' ל'ארוך'.
להלן השינויים בגירסה 0.2.7 של הסכימה:
- הוספת את השדות
HttpCookie,HttpIsProxied,HttpRequestBodyBytes,HttpRequestCacheControl,HttpRequestHeaderCount,HttpResponseCacheControlHttpResponseBodyBytes,HttpResponseExpiresו-HttpResponseHeaderCount.
השלבים הבאים
לקבלת מידע נוסף, ראה: