Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Normaliseringsskjemaet for nettøkten brukes til å beskrive en IP-nettverksaktivitet. Ip-nettverksaktiviteter rapporteres for eksempel av webservere, nettproxyer og gatewayer for websikkerhet.
Hvis du vil ha mer informasjon om normalisering i Microsoft Sentinel, kan du se Normalisering og ASIM (Advanced Security Information Model).
Skjemaoversikt
Normaliseringsskjemaet for nettøkt representerer en hvilken som helst HTTP-nettverksøkt, og er egnet til å gi støtte for vanlige kildetyper, inkludert:
- Webservere
- Webproxyer
- Gatewayer for websikkerhet
ASIM Web Session-skjemaet representerer HTTP- og HTTPS-protokollaktivitet. Siden skjemaet representerer protokollaktivitet, styres det av RFCer og offisielt tilordnede parameterlister, som det refereres til i denne artikkelen når det passer.
Webøktskjemaet representerer ikke overvåkingshendelser fra kildeenheter. En hendelse som endrer en gatewaypolicy for websikkerhet, kan for eksempel ikke representeres av webøktskjemaet.
Siden HTTP-økter er programlagsøkter som bruker TCP/IP som den underliggende økten for nettverkslag, er webøktskjemaet et supersett av ASIM-nettverksøktskjemaet.
De viktigste feltene i et webøktskjema er:
- URL-adressen, som rapporterer url-adressen som klienten ba om fra serveren.
- SrcIpAddr (alias til IpAddr), som representerer IP-adressen som forespørselen ble generert fra.
- EventResultDetails-feltet , som vanligvis rapporterer HTTP-statuskoden.
Nettøkthendelser kan også omfatte bruker- og prosessinformasjon for brukeren og prosessstart av forespørselen.
Parsere
Hvis du vil ha mer informasjon om ASIM-analyser, kan du se ASIM-analyseoversikten.
Samlende analyser
Hvis du vil bruke parsere som forener alle ASIM-parsere utenfor boksen, og sikre at analysen kjører på tvers av alle de konfigurerte kildene, bruker _Im_WebSession du analysen.
Ut-av-boksen, kildespesifikke parsers
Se ASIM-analyselisten for listen over nettøktanalyser Microsoft Sentinel
Legg til dine egne normaliserte analyser
Når du implementerer egendefinerte analyser for informasjonsmodellen for webøkten, kan du gi navn til KQL-funksjonene ved hjelp av følgende syntaks:
-
vimWebSession<vendor><Product>for parametriserte parsere -
ASimWebSession<vendor><Product>for vanlige analyser
Parametere for filtreringsanalyse
vim* Parserne im støtter filtreringsparametere. Selv om disse parserne er valgfrie, kan de forbedre spørringsytelsen.
Følgende filtreringsparametere er tilgjengelige:
| Navn | Type: | Beskrivelse |
|---|---|---|
| starttidspunkt | Datetime | Filtrer bare webøkter som startet på eller etter dette tidspunktet . Denne parameteren TimeGenerated filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene. |
| Endtime | Datetime | Filtrer bare webøkter som begynte å kjøre på eller før dette tidspunktet. Denne parameteren TimeGenerated filtrerer på feltet, som er standardutformingen for tidspunktet for hendelsen, uavhengig av den parserspesifikke tilordningen av EventStartTime- og EventEndTime-feltene. |
| srcipaddr_has_any_prefix | Dynamisk | Filtrer bare webøkter der kilde-IP-adressefeltprefikset er i én av de oppførte verdiene. Listen over verdier kan inneholde IP-adresser og IP-adresseprefikser. Prefikser bør slutte med et ., for eksempel: 10.0.. Lengden på listen er begrenset til 10 000 elementer. |
| ipaddr_has_any_prefix | Dynamisk | Filtrer bare nettverksøkter der mål-IP-adressefeltet eller kilde-IP-adressefeltprefikset er i én av de oppførte verdiene. Prefikser bør slutte med et ., for eksempel: 10.0.. Lengden på listen er begrenset til 10 000 elementer.Feltet ASimMatchingIpAddr er angitt med én av verdiene SrcIpAddr, DstIpAddreller Both for å gjenspeile de samsvarende feltene eller feltene. |
| url_has_any | Dynamisk | Filtrer bare webøkter der url-feltet har noen av verdiene som er oppført. Parseren kan ignorere skjemaet for URL-adressen som ble sendt som en parameter, hvis kilden ikke rapporterer det. Hvis angitt, og økten ikke er en nettøkt, returneres ingen resultater. Lengden på listen er begrenset til 10 000 elementer. |
| httpuseragent_has_any | Dynamisk | Filtrer bare nettøkter der brukeragentfeltet har noen av verdiene som er oppført. Hvis angitt, og økten ikke er en nettøkt, returneres ingen resultater. Lengden på listen er begrenset til 10 000 elementer. |
| eventresultdetails_in | Dynamisk | Filtrer bare nettøkter der HTTP-statuskoden, som er lagret i EventResultDetails-feltet , er en av verdiene som er oppført. |
| eventresult | Streng | Filtrer bare nettverksøkter med en bestemt EventResult-verdi . |
Noen parametere kan godta begge listene med verdier av typen dynamic eller en enkelt strengverdi. Hvis du vil sende en litteral liste til parametere som forventer en dynamisk verdi, bruker du eksplisitt en dynamisk litteral. For eksempel: dynamic(['192.168.','10.'])
Hvis du for eksempel bare vil filtrere nettøkter for en angitt liste over domenenavn, bruker du:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Skjemadetaljer
Informasjonsmodellen for webøkten er justert med OSSEM Network-enhetsskjemaet og OSSEM HTTP-enhetsskjemaet.
For å samsvare med anbefalte fremgangsmåter for bransjen bruker webøktskjemaet beskrivelsene Src og Dst til å identifisere øktkilden og målenhetene, uten å inkludere token-dvc i feltnavnet.
Så, for eksempel, kildeenhetens vertsnavn og IP-adresse kalles henholdsvis SrcHostname og SrcIpAddr , og ikke SrcDvcHostname og SrcDvcIpAddr. Prefikset Dvc brukes bare for rapporterings- eller mellomleddsenheten, slik det er aktuelt.
Felt som beskriver brukeren og programmet som er knyttet til kilde- og målenhetene, bruker også Src - og DST-beskrivelser .
Andre ASIM-skjemaer bruker vanligvis Mål i stedet for DST.
Vanlige ASIM-felt
Viktig
Felt som er felles for alle skjemaer, beskrives i detalj i artikkelen ASIM Common Fields .
Vanlige felt med spesifikke retningslinjer
Listen nedenfor nevner felt som har spesifikke retningslinjer for webøkthendelser:
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Eventtype | Obligatorisk | Nummerert | Beskriver operasjonen som er rapportert av posten. Tillatte verdier er: - HTTPsession: Angir en nettverksøkt som brukes for HTTP eller HTTPS, vanligvis rapportert av en mellomliggende enhet, for eksempel en proxy eller en gateway for websikkerhet.- WebServerSession: Angir en HTTP-forespørsel rapportert av en webserver. En slik hendelse har vanligvis mindre nettverksrelatert informasjon. Den rapporterte URL-adressen bør ikke inneholde et skjema og et servernavn, men bare banen og parameterne som er en del av nettadressen. - ApiRequest: Angir en HTTP-forespørsel som er rapportert knyttet til et API-kall, vanligvis rapportert av en programserver. En slik hendelse har vanligvis mindre nettverksrelatert informasjon. Når den rapporteres av programserveren, skal url-adressen som rapporteres, ikke inkludere et skjema og et servernavn, men bare banen og parameterne som er en del av nettadressen. |
| EventResult | Obligatorisk | Nummerert | Beskriver hendelsesresultatet, normalisert til én av følgende verdier: - Success - Partial - Failure - NA (gjelder ikke) For en HTTP-økt defineres Success det som en statuskode som er lavere enn 400, og Failure er definert som en statuskode som er høyere enn 400. Hvis du vil ha en liste over HTTP-statuskoder, kan du se W3 Org.Kilden kan bare gi en verdi for EventResultDetails-feltet , som må analyseres for å få EventResult-verdien . |
| EventResultDetails | Anbefalt | Nummerert | HTTP-statuskoden som definert av World Wide Web Consortium Obs! Verdien kan angis i kildeposten ved hjelp av forskjellige termer, som skal normaliseres til disse verdiene. Den opprinnelige verdien bør lagres i EventOriginalResultDetails-feltet . |
| EventSchema | Obligatorisk | Nummerert | Navnet på skjemaet som er dokumentert her, er WebSession. |
| EventSchemaVersion | Obligatorisk | SchemaVersion (streng) | Versjonen av skjemaet. Versjonen av skjemaet som er dokumentert her, er 0.2.7 |
| Dvc-felt | For nettøkthendelser refererer enhetsfelt til systemet som rapporterer hendelsen webøkt. Dette er vanligvis en mellomleddsenhet for HTTPSession hendelser, og målweben eller programserveren for WebServerSession og ApiRequest hendelser. |
Alle fellesfelt
Felt som vises i tabellen nedenfor, er felles for alle ASIM-skjemaer. Alle retningslinjer som er angitt ovenfor, overstyrer de generelle retningslinjene for feltet. Et felt kan for eksempel være valgfritt generelt, men obligatorisk for et bestemt skjema. Hvis du vil ha mer informasjon om hvert felt, kan du se artikkelen ASIM Common Fields .
| Klasse | Felt |
|---|---|
| Obligatorisk |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Anbefalt |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valgfri |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOer - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Nettverksøktfelt
HTTP-økter er programlagsøkter som bruker TCP/IP som den underliggende økten for nettverkslag. Webøktskjemaet er et supersett med ASIM-nettverksøktskjema , og alle nettverksskjemafeltene er også inkludert i webøktskjemaet.
Følgende skjemafelt for ASIM-nettverksøkter har spesifikke retningslinjer når de brukes til en nettøkthendelse:
- Aliaset Brukeren bør referere til SrcUsername og ikke til DstUsername.
- Feltet EventOriginalResultDetails kan inneholde et resultat rapportert av kilden i tillegg til HTTP-statuskoden som er lagret i EventResultDetails.
- For webøkter er det primære målfeltet URL-feltet. DstDomain er valgfritt i stedet for anbefalt. Hvis den ikke er tilgjengelig, er det ikke nødvendig å trekke den ut fra nettadressen i analyseren.
-
NetworkRuleNameFeltene ogNetworkRuleNumberhar henholdsvis nytt navn ogRuleNumberhar fått nytt navnRuleName.
Nettøkthendelser rapporteres vanligvis av mellomliggende enheter som avslutter HTTP-tilkoblingen fra klienten og starter en ny tilkobling, som fungerer som en proxy, med serveren. Hvis du vil representere den mellomliggende enheten, bruker du feltene for ASIM-nettverksøktskjemaetfor mellomliggende enheter
HTTP-øktfelt
Nedenfor finner du tilleggsfelt som er spesifikke for nettøkter:
| Felt | Klasse | Type: | Beskrivelse |
|---|---|---|---|
| Url | Obligatorisk | URL-adresse (streng) | URL-adressen for HTTP-forespørselen, inkludert parametere. Nettadressen HTTPSession kan inneholde skjemaet for hendelser, og bør inneholde servernavnet. For WebServerSession og for ApiRequest url-adressen vil vanligvis ikke inkludere skjemaet og serveren, som finnes i henholdsvis NetworkApplicationProtocol feltene og DstFQDN . Eksempel: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | Valgfri | Streng | Den definerte gruppering av en URL-adresse eller domenedelen av nettadressen. Kategorien leveres vanligvis av nettsikkerhetsgatewayer og er basert på innholdet på nettstedet nettadressen peker til. Eksempel: søkemotorer, voksne, nyheter, reklame og parkerte domener. |
| UrlOriginal | Valgfri | URL-adresse (streng) | Den opprinnelige verdien for nettadressen, når nettadressen ble endret av rapporteringsenheten og begge verdiene er angitt. |
| HttpVersion | Valgfri | Streng | HTTP-forespørselsversjonen. Eksempel: 2.0 |
| HttpRequestMethod | Anbefalt | Nummerert | HTTP-metoden. Verdiene er som definert i RFC 7231 og RFC 5789, og inkluderer GET, , HEAD, PUTPOST, DELETE, CONNECTOPTIONS, TRACE, og PATCH.Eksempel: GET |
| HttpStatusCode | Alias | HTTP-statuskoden. Alias til EventResultDetails. | |
| HttpContentType | Valgfri | Streng | Innholdstypehodet for HTTP-svar. Obs!HttpContentType-feltet kan inneholde både innholdsformatet og ekstra parametere, for eksempel kodingen som brukes til å få det faktiske formatet. Eksempel: text/html; charset=ISO-8859-4 |
| HttpContentFormat | Valgfri | Streng | Innholdsformatdelen av HttpContentType Eksempel: text/html |
| HttpReferrer | Valgfri | Streng | HTTP-referansehodet. Obs! ASIM, synkronisert med OSSEM, bruker riktig stavemåte for referanse, og ikke den opprinnelige HTTP-toppteksten. Eksempel: https://developer.mozilla.org/docs |
| HttpUserAgent | Valgfri | Streng | Http-brukeragenthodet. Eksempel: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, som Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| Brukeragent | Alias | Alias til HttpUserAgent | |
| HttpRequestXff | Valgfri | IP-adresse | HTTP X-Forwarded-For-toppteksten. Eksempel: 120.12.41.1 |
| HttpRequestTime | Valgfri | Heltall | Hvor lang tid det tok i millisekunder å sende forespørselen til serveren, hvis aktuelt. Eksempel: 700 |
| HttpResponseTime | Valgfri | Heltall | Hvor lang tid, i millisekunder, det tok å motta et svar på serveren, hvis aktuelt. Eksempel: 800 |
| HttpHost | Valgfri | Streng | Den virtuelle webserveren HTTP-forespørselen er målrettet mot. Denne verdien er vanligvis basert på HTTP-vertshodet. |
| Filnavn | Valgfri | Streng | For HTTP-opplastinger, navnet på den opplastede filen. |
| FileMD5 | Valgfri | MD5 | Md5-hash-koden for den opplastede filen for HTTP-opplastinger. Eksempel: 75a599802f1fa166cdadb360960b1dd0 |
| FileSHA1 | Valgfri | SHA1 | For HTTP-opplastinger, SHA1-hash for den opplastede filen. Eksempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| FileSHA256 | Valgfri | SHA256 | For HTTP-opplastinger, SHA256-hash-koden for den opplastede filen. Eksempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| FileSHA512 | Valgfri | SHA512 | For HTTP-opplastinger, SHA512 hash for den opplastede filen. |
| Hash | Alias | Alias for det tilgjengelige hash-feltet. | |
| HashType | Betinget | Nummerert | Typen hash-kode i Hash-feltet . Mulige verdier inkluderer: MD5, SHA1, SHA256og SHA512. |
| Filstørrelse | Valgfri | Lang | For HTTP-opplastinger er størrelsen i byte på den opplastede filen. |
| FileContentType | Valgfri | Streng | Innholdstypen for den opplastede filen for HTTP-opplastinger. |
| HttpCookie | Valgfri | Streng | Innholdet i http-informasjonskapselhodet som sendes fra klienten til serveren, som inneholder navneverdipar med øktdata. Eksempel: session_id=abc123; user_pref=dark_mode |
| HttpIsProxied | Valgfri | Boolsk | Angir om HTTP-forespørselen ble sendt via en proxy-server. Eksempel: true |
| HttpRequestBodyBytes | Valgfri | Lang | Størrelsen på brødteksten for HTTP-forespørselen i byte, ikke inkludert overskrifter. Eksempel: 1024 |
| HttpRequestCacheControl | Valgfri | Streng | Innholdet i http-Cache-Control forespørselshodet, som angir hurtigbufringsdirektiver fra klienten. Eksempel: no-cache |
| HttpRequestHeaderCount | Valgfri | Heltall | Antall HTTP-overskrifter som er inkludert i forespørselen. Eksempel: 12 |
| HttpResponseBodyBytes | Valgfri | Lang | Størrelsen på HTTP-svarteksten i byte, ikke inkludert overskrifter. Eksempel: 8192 |
| HttpResponseCacheControl | Valgfri | Streng | Innholdet i HTTP-Cache-Control svarhode, som angir hurtigbufringsdirektiver fra serveren. Eksempel: max-age=3600, public |
| HttpResponseExpires | Valgfri | Streng | Innholdet i http utløper svarhodet, som angir når svarinnholdet utløper. Eksempel: Thu, 01 Dec 2024 16:00:00 GMT |
| HttpResponseHeaderCount | Valgfri | Heltall | Antall HTTP-overskrifter som er inkludert i svaret. Eksempel: 15 |
Andre felt
Hvis hendelsen rapporteres av ett av endepunktene i nettøkten, kan den inneholde informasjon om prosessen som startet eller avsluttet økten. I slike tilfeller skal skjemaet for ASIM-prosesshendelse normalisere denne informasjonen.
Skjemaoppdateringer
Webøktskjemaet er avhengig av nettverksøktskjemaet. Derfor gjelder skjemaoppdateringer for nettverksøkt også for webøktskjemaet.
Følgende er endringene i versjon 0.2.5 av skjemaet:
- La til feltet
HttpHost.
Følgende er endringene i versjon 0.2.6 av skjemaet:
- Filtypen FileSize ble endret fra heltall til langt.
Følgende er endringene i versjon 0.2.7 av skjemaet:
- La til feltene
HttpCookie,HttpIsProxied,HttpRequestBodyBytes,HttpRequestCacheControlHttpRequestHeaderCount,HttpResponseBodyBytes,HttpResponseCacheControl,HttpResponseExpiresogHttpResponseHeaderCount.
Neste trinn
Hvis du vil ha mer informasjon, kan du se: