Dokumentacja schematu normalizacji sesji sieci Web (ASIM) advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)
Schemat normalizacji sesji sieci Web służy do opisywania działania sieci IP. Na przykład działania sieci IP są zgłaszane przez serwery internetowe, serwery proxy sieci Web i bramy zabezpieczeń sieci Web.
Aby uzyskać więcej informacji na temat normalizacji w usłudze Microsoft Sentinel, zobacz Normalizacja i Zaawansowany model informacji o zabezpieczeniach (ASIM).
Ważne
Schemat normalizacji sieci jest obecnie w wersji zapoznawczej. Ta funkcja jest zapewniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych.
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub nie zostały jeszcze wydane w ogólnej dostępności.
Omówienie schematu
Schemat normalizacji sesji sieci Web reprezentuje dowolną sesję sieci HTTP i jest odpowiedni do zapewnienia obsługi typowych typów źródłowych, w tym:
- Serwery sieci Web
- Serwery proxy sieci Web
- Bramy zabezpieczeń sieci Web
Schemat sesji sieci Web ASIM reprezentuje działanie protokołu HTTP i HTTPS. Ponieważ schemat reprezentuje działanie protokołu, jest on zarządzany przez rfCs i oficjalnie przypisane listy parametrów, które są przywołyane w tym artykule, gdy jest to odpowiednie.
Schemat sesji sieci Web nie reprezentuje zdarzeń inspekcji z urządzeń źródłowych. Na przykład zdarzenie modyfikujące zasady bramy zabezpieczeń sieci Web nie może być reprezentowane przez schemat sesji sieci Web.
Ponieważ sesje HTTP to sesje warstwy aplikacji korzystające z protokołu TCP/IP jako podstawowej sesji warstwy sieciowej, schemat sesji sieci Web jest superzbiętnym zestawem schematu sesji sieciowej ASIM.
Najważniejsze pola w schemacie sesji sieci Web to:
- Adres URL, który zgłasza adres URL, którego klient zażądał od serwera.
- SrcIpAddr (aliased to IpAddr), który reprezentuje adres IP, z którego wygenerowano żądanie.
- Pole EventResultDetails , które zwykle zgłasza kod stanu HTTP.
Zdarzenia sesji sieci Web mogą również zawierać informacje o użytkowniku i procesie inicjowania żądania.
Parsery
Aby uzyskać więcej informacji na temat analizatorów ASIM, zobacz omówienie analizatorów ASIM.
Ujednolicanie analizatorów
Aby użyć analizatorów, które ujednolicają wszystkie analizatory karty ASIM poza ramką i upewnij się, że analiza jest uruchamiana we wszystkich skonfigurowanych źródłach, użyj _Im_WebSession analizatora filtrowania lub analizatora _ASim_WebSession bez parametrów.
Można również użyć wdrożonych ImWebSession obszarów roboczych i ASimWebSession analizatorów, wdrażając je z repozytorium GitHub usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz wbudowane analizatory ASIM i analizatory wdrożone w obszarze roboczym.
Gotowe do użycia analizatory specyficzne dla źródła
Aby uzyskać listę analizatorów sesji sieci Web, usługa Microsoft Sentinel udostępnia gotowe do użycia informacje, zapoznaj się z listą analizatorów ASIM
Dodawanie własnych znormalizowanych analizatorów
Podczas implementowania niestandardowych analizatorów dla modelu informacji o sesji sieci Web nazwij funkcje KQL przy użyciu następującej składni:
vimWebSession<vendor><Product>dla parserów sparametryzowanychASimWebSession<vendor><Product>dla zwykłych analizatorów
Parametry analizatora filtrowania
Analizatory im i vim* obsługują parametry filtrowania. Chociaż te analizatory są opcjonalne, mogą poprawić wydajność zapytań.
Dostępne są następujące parametry filtrowania:
| Nazwa | Typ | Opis |
|---|---|---|
| Starttime | datetime | Filtruj tylko sesje sieci Web , które rozpoczęły się o tej godzinie lub po tej godzinie. |
| Endtime | datetime | Filtruj tylko sesje sieci Web , które rozpoczęły działanie o lub wcześniej. |
| srcipaddr_has_any_prefix | dynamiczna | Filtruj tylko sesje sieci Web, dla których prefiks pola źródłowego adresu IP znajduje się w jednej z wymienionych wartości. Lista wartości może zawierać adresy IP i prefiksy adresów IP. Prefiksy powinny kończyć się elementem ., na przykład: 10.0.. Długość listy jest ograniczona do 10 000 elementów. |
| ipaddr_has_any_prefix | dynamiczna | Filtruj tylko sesje sieciowe, dla których pole docelowego adresu IP lub prefiks pola źródłowego adresu IP znajduje się w jednej z wymienionych wartości. Prefiksy powinny kończyć się elementem ., na przykład: 10.0.. Długość listy jest ograniczona do 10 000 elementów.Pole ASimMatchingIpAddr jest ustawione z jedną z wartości SrcIpAddr, DstIpAddrlub Both odzwierciedla pasujące pola lub pola. |
| url_has_any | dynamiczna | Filtruj tylko sesje sieci Web, dla których pole adresu URL ma dowolną z wartości wymienionych. Analizator może zignorować schemat adresu URL przekazany jako parametr, jeśli źródło go nie zgłosi. Jeśli zostanie określona, a sesja nie jest sesją internetową, nie zostanie zwrócony żaden wynik. Długość listy jest ograniczona do 10 000 elementów. |
| httpuseragent_has_any | dynamiczna | Filtruj tylko sesje internetowe, dla których pole agenta użytkownika ma dowolną z wartości wymienionych. Jeśli zostanie określona, a sesja nie jest sesją internetową, nie zostanie zwrócony żaden wynik. Długość listy jest ograniczona do 10 000 elementów. |
| eventresultdetails_in | dynamiczna | Filtruj tylko sesje internetowe, dla których kod stanu HTTP przechowywany w polu EventResultDetails jest dowolną z wartości wymienionych. |
| eventresult | ciąg | Filtruj tylko sesje sieciowe z określoną wartością EventResult . |
Niektóre parametry mogą akceptować zarówno listę wartości typu dynamic , jak i pojedynczego ciągu. Aby przekazać listę literałów do parametrów, które oczekują wartości dynamicznej, jawnie użyj literału dynamicznego. Na przykład: dynamic(['192.168.','10.'])
Aby na przykład filtrować tylko sesje sieci Web dla określonej listy nazw domen, użyj:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Szczegóły schematu
Model informacji o sesji sieci Web jest zgodny ze schematem jednostki sieciowej OSSEM i schematem jednostki HTTP OSSEM.
Aby zapewnić zgodność z najlepszymi rozwiązaniami branżowymi, schemat sesji sieci Web używa deskryptorów Src i Dst do identyfikowania urządzeń źródłowych i docelowych sesji bez uwzględniania tokenu Dvc w nazwie pola.
Na przykład źródłowa nazwa hosta urządzenia i adres IP mają odpowiednio nazwy SrcHostname i SrcIpAddr, a nie Src DvcHostname i SrcDvcIpAddr. Prefiks Dvc jest używany tylko do raportowania lub urządzenia pośredniego, zgodnie z wymaganiami.
Pola opisujące użytkownika i aplikację skojarzona z urządzeniami źródłowymi i docelowymi używają również deskryptorów Src i Dst .
Inne schematy karty ASIM zwykle używają elementu docelowego zamiast Dst.
Typowe pola ASIM
Ważne
Pola wspólne dla wszystkich schematów opisano szczegółowo w artykule ASIM Common Fields (Wspólne pola karty ASIM ).
Typowe pola z określonymi wytycznymi
Na poniższej liście wymieniono pola, które mają określone wytyczne dotyczące zdarzeń sesji sieci Web:
| Pole | Klasa | Typ | Opis |
|---|---|---|---|
| Eventtype | Obowiązkowy | Enumerated | Opisuje operację zgłoszoną przez rekord. Dozwolone wartości to: - HTTPsession: określa sesję sieciową używaną do obsługi protokołu HTTP lub HTTPS, zazwyczaj zgłaszane przez urządzenie pośredniczące, takie jak serwer proxy lub brama zabezpieczeń sieci Web.- WebServerSession: oznacza żądanie HTTP zgłoszone przez serwer internetowy. Takie zdarzenie zwykle ma mniej informacji związanych z siecią. Zgłoszony adres URL nie powinien zawierać schematu i nazwy serwera, ale tylko ścieżki i parametrów części adresu URL. - ApiRequest: oznacza żądanie HTTP zgłoszone z wywołaniem interfejsu API, zwykle zgłaszane przez serwer aplikacji. Takie zdarzenie zwykle ma mniej informacji związanych z siecią. W przypadku raportowania przez serwer aplikacji zgłoszony adres URL nie powinien zawierać schematu i nazwy serwera, ale tylko ścieżki i parametrów części adresu URL. |
| EventResult | Obowiązkowy | Enumerated | Opisuje wynik zdarzenia znormalizowany do jednej z następujących wartości: - Success - Partial - Failure - NA (nie dotyczy)W przypadku sesji Success HTTP kod stanu jest zdefiniowany jako kod stanu niższy niż 400, i Failure jest zdefiniowany jako kod stanu wyższy niż 400. Listę kodów stanu HTTP można znaleźć w temacie Organizacja W3.Źródło może podać tylko wartość pola EventResultDetails , które należy przeanalizować, aby uzyskać wartość EventResult . |
| EventResultDetails | Zalecane | Ciąg | Kod stanu HTTP. Uwaga: wartość może być podana w rekordzie źródłowym przy użyciu różnych terminów, które powinny być znormalizowane do tych wartości. Oryginalna wartość powinna być przechowywana w polu EventOriginalResultDetails . |
| EventSchema | Obowiązkowy | Ciąg | Nazwa schematu udokumentowanego tutaj to WebSession. |
| EventSchemaVersion | Obowiązkowy | Ciąg | Wersja schematu. Wersja schematu udokumentowana tutaj jest 0.2.6 |
| Pola dvc | W przypadku zdarzeń sesji internetowej pola urządzenia odwołują się do systemu raportowania zdarzenia sesji internetowej. Jest to zazwyczaj urządzenie pośredniczące dla zdarzeń HTTPSession oraz docelowy serwer internetowy lub serwer aplikacji dla WebServerSession zdarzeń i ApiRequest . |
Wszystkie typowe pola
Pola wyświetlane w poniższej tabeli są wspólne dla wszystkich schematów ASIM. Wszelkie wytyczne określone powyżej zastępują ogólne wytyczne dotyczące pola. Na przykład pole może być opcjonalne ogólnie, ale obowiązkowe dla określonego schematu. Aby uzyskać więcej informacji na temat każdego pola, zapoznaj się z artykułem ASIM Common Fields (Wspólne pola karty ASIM ).
| Klasa | Pola |
|---|---|
| Obowiązkowy | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Zalecane | - EventResultDetails - EventSeverity - Identyfikator eventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcjonalne | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Właściciel zdarzeń - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Dodatkowe pola - DvcDescription - DvcScopeId - DvcScope |
Pola sesji sieciowej
Sesje HTTP to sesje warstwy aplikacji, które używają protokołu TCP/IP jako podstawowej sesji warstwy sieciowej. Schemat sesji sieci Web jest superzestaw schematu sesji sieciowej ASIM , a wszystkie pola schematu sieciowego są również uwzględnione w schemacie sesji sieci Web.
Następujące pola schematu sesji sieciowej karty ASIM mają określone wytyczne dotyczące zdarzenia sesji sieci Web:
- Alias Użytkownik powinien odwoływać się do nazwy użytkownika SrcUsername , a nie do nazwy DstUsername.
- Pole EventOriginalResultDetails może przechowywać dowolny wynik zgłoszony przez źródło oprócz kodu stanu HTTP przechowywanego w elemecie EventResultDetails.
- W przypadku sesji sieci Web podstawowym polem docelowym jest pole adresu URL. DstDomain jest opcjonalny, a nie zalecany. W szczególności, jeśli nie jest dostępny, nie ma potrzeby wyodrębniania go z adresu URL w analizatorze.
- Nazwy pól
NetworkRuleNameiNetworkRuleNumbersą odpowiednio zmienianeRuleNameiRuleNumber.
Zdarzenia sesji internetowej są często zgłaszane przez urządzenia pośrednie, które kończą połączenie HTTP z klienta i inicjują nowe połączenie działające jako serwer proxy z serwerem. Aby reprezentować urządzenie pośrednie, użyj pól schematu sesji sieciowej ASIMPośredniczące urządzenie
Pola sesji HTTP
Poniżej przedstawiono dodatkowe pola specyficzne dla sesji internetowych:
| Pole | Klasa | Typ | Opis |
|---|---|---|---|
| Adres url | Obowiązkowy | Ciąg | Adres URL żądania HTTP, w tym parametry. W przypadku HTTPSession zdarzeń adres URL może zawierać schemat i powinien zawierać nazwę serwera. Adres WebServerSession URL i ApiRequest zwykle nie zawiera schematu i serwera, który można znaleźć odpowiednio w NetworkApplicationProtocol polach i DstFQDN . Przykład: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | Opcjonalne | Ciąg | Zdefiniowane grupowanie adresu URL lub części adresu URL domeny. Kategoria jest często udostępniana przez bramy zabezpieczeń sieci Web i jest oparta na zawartości witryny, do których wskazuje adres URL. Przykład: wyszukiwarki, osoby dorosłe, wiadomości, reklamy i zaparkowane domeny. |
| UrlOriginal | Opcjonalne | Ciąg | Oryginalna wartość adresu URL, gdy adres URL został zmodyfikowany przez urządzenie raportowania i podano obie wartości. |
| HttpVersion | Opcjonalne | Ciąg | Wersja żądania HTTP. Przykład: 2.0 |
| HttpRequestMethod | Zalecane | Enumerated | Metoda HTTP. Wartości są zdefiniowane w dokumentach RFC 7231 i RFC 5789 oraz obejmują GET, , DELETEPOSTHEADCONNECTOPTIONSPUTTRACEi .PATCHPrzykład: GET |
| HttpStatusCode | Alias | Kod stanu HTTP. Alias do eventResultDetails. | |
| HttpContentType | Opcjonalne | Ciąg | Nagłówek typu zawartości Odpowiedź HTTP. Uwaga: pole HttpContentType może zawierać zarówno format zawartości, jak i dodatkowe parametry, takie jak kodowanie używane do pobierania rzeczywistego formatu. Przykład: text/html; charset=ISO-8859-4 |
| HttpContentFormat | Opcjonalne | Ciąg | Część formatu zawartości typu HttpContentType Przykład: text/html |
| HttpReferrer | Opcjonalne | Ciąg | Nagłówek odwołania HTTP. Uwaga: karta ASIM, zsynchronizowana z rozwiązaniem OSSEM, używa poprawnej pisowni dla odwołania, a nie oryginalnej pisowni nagłówka HTTP. Przykład: https://developer.mozilla.org/docs |
| HttpUserAgent | Opcjonalne | Ciąg | Nagłówek agenta użytkownika HTTP. Przykład: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, na przykład Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| Useragent | Alias | Alias do httpUserAgent | |
| HttpRequestXff | Opcjonalne | Adres IP | Nagłówek HTTP X-Forwarded-For. Przykład: 120.12.41.1 |
| HttpRequestTime | Opcjonalne | Liczba całkowita | Czas w milisekundach trwał, jeśli ma to zastosowanie, aby wysłać żądanie do serwera. Przykład: 700 |
| HttpResponseTime | Opcjonalne | Liczba całkowita | Ilość czasu w milisekundach zajęła odebranie odpowiedzi na serwerze, jeśli ma to zastosowanie. Przykład: 800 |
| HttpHost | Opcjonalne | Ciąg | Wirtualny serwer internetowy, którego dotyczy żądanie HTTP. Ta wartość jest zwykle oparta na nagłówku hosta HTTP. |
| FileName | Opcjonalne | Ciąg | W przypadku przekazywania HTTP nazwa przekazanego pliku. |
| FileMD5 | Opcjonalne | MD5 | W przypadku przekazywania HTTP skrót MD5 przekazanego pliku. Przykład: 75a599802f1fa166cdadb360960b1dd0 |
| FileSHA1 | Opcjonalne | SHA1 | W przypadku przekazywania HTTP skrót SHA1 przekazanego pliku. Przykład: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| FileSHA256 | Opcjonalne | SHA256 | W przypadku przekazywania HTTP skrót SHA256 przekazanego pliku. Przykład: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| FileSHA512 | Opcjonalne | SHA512 | W przypadku przekazywania HTTP skrót SHA512 przekazanego pliku. |
| Mieszania | Alias | Alias dostępnego pola skrótu. | |
| FileHashType | Opcjonalne | Enumerated | Typ skrótu w polu Skrót . Możliwe wartości to: MD5, , SHA256SHA1i SHA512. |
| FileSize | Opcjonalne | Długi | W przypadku przekazywania HTTP rozmiar w bajtach przekazanego pliku. |
| FileContentType | Opcjonalne | Ciąg | W przypadku przekazywania HTTP typ zawartości przekazanego pliku. |
Inne pola
Jeśli zdarzenie jest zgłaszane przez jeden z punktów końcowych sesji sieci Web, może zawierać informacje o procesie, który zainicjował lub zakończył sesję. W takich przypadkach schemat zdarzenia procesu karty ASIM w celu normalizacji tych informacji.
Aktualizacje schematu
Schemat sesji sieci Web opiera się na schemacie sesji sieciowej. W związku z tym aktualizacje schematu sesji sieciowej mają zastosowanie również do schematu sesji sieci Web.
Poniżej przedstawiono zmiany w wersji 0.2.5 schematu:
- Dodano pole
HttpHost.
Poniżej przedstawiono zmiany w wersji 0.2.6 schematu:
- Typ fileSize został zmieniony z liczby całkowitej na Long.
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Obejrzyj seminarium internetowe ASIM lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zaawansowana zawartość modelu informacji o zabezpieczeniach (ASIM)