Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O esquema de normalização da Sessão Web é utilizado para descrever uma atividade de rede IP. Por exemplo, as atividades de rede IP são comunicadas por servidores Web, proxies Web e gateways de segurança Web.
Para obter mais informações sobre a normalização no Microsoft Sentinel, veja Normalização e Modelo avançado de informações de segurança (ASIM).
Descrição geral do esquema
O esquema de normalização da Sessão Web representa qualquer sessão de rede HTTP e é adequado para fornecer suporte para tipos de origem comuns, incluindo:
- Servidores Web
- Proxies Web
- Gateways de segurança Web
O esquema de Sessão Web ASIM representa a atividade do protocolo HTTP e HTTPS. Uma vez que o esquema representa a atividade do protocolo, é regido por RFCs e listas de parâmetros oficialmente atribuídas, que são referenciadas neste artigo quando apropriado.
O esquema de Sessão Web não representa eventos de auditoria de dispositivos de origem. Por exemplo, um evento que modifique uma política de Gateway de Segurança Web não pode ser representado pelo esquema de Sessão Web.
Uma vez que as sessões HTTP são sessões de camada de aplicação que utilizam TCP/IP como sessão de camada de rede subjacente, o esquema de Sessão Web é um super conjunto do esquema de Sessão de Rede asIM.
Os campos mais importantes num esquema de Sessão Web são:
- URL, que comunica o URL que o cliente pediu ao servidor.
- O SrcIpAddr (aliased to IpAddr), que representa o endereço IP a partir do qual o pedido foi gerado.
- Campo EventResultDetails , que normalmente comunica o Código de Estado HTTP.
Os eventos de Sessão Web também podem incluir informações de Utilizador e Processo para o utilizador e o processo que inicia o pedido.
Analisadores
Para obter mais informações sobre os analisadores do ASIM, veja Descrição geral dos analisadores do ASIM.
Analisadores unificadores unificadores
Para utilizar analisadores que unifiquem todos os analisadores asIM fora da caixa e certifique-se de que a sua análise é executada em todas as origens configuradas, utilize o _Im_WebSession analisador.
Analisadores específicos de origem fora da caixa
Para obter a lista de analisadores de Sessões Web Microsoft Sentinel fornece uma lista de analisadores de Sessão Web, consulte a lista de analisadores asim
Adicionar os seus próprios analisadores normalizados
Ao implementar analisadores personalizados para o modelo de informações da Sessão Web, atribua um nome às funções KQL com a seguinte sintaxe:
-
vimWebSession<vendor><Product>para parsers parametrizados -
ASimWebSession<vendor><Product>para analisadores regulares
Filtrar parâmetros do analisador
Os im analisadores e vim*suportam parâmetros de filtragem. Embora estes analisadores sejam opcionais, podem melhorar o desempenho da consulta.
Estão disponíveis os seguintes parâmetros de filtragem:
| Name | Tipo | Descrição |
|---|---|---|
| hora de início | datetime | Filtre apenas as sessões Web iniciadas em ou depois deste momento. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| endtime | datetime | Filtre apenas as sessões Web que começaram a ser executadas em ou antes desta hora. Este parâmetro filtra no TimeGenerated campo, que é o designador padrão para a hora do evento, independentemente do mapeamento específico do analisador dos campos EventStartTime e EventEndTime. |
| srcipaddr_has_any_prefix | dinâmico | Filtre apenas as sessões Web para as quais o prefixo do campo de endereço IP de origem está num dos valores listados. A lista de valores pode incluir endereços IP e prefixos de endereços IP. Os prefixos devem terminar com um ., por exemplo: 10.0.. O comprimento da lista está limitado a 10 000 itens. |
| ipaddr_has_any_prefix | dinâmico | Filtre apenas as sessões de rede para as quais o prefixo do campo de endereço IP de destino ou do campo de endereço IP de origem está num dos valores listados. Os prefixos devem terminar com um ., por exemplo: 10.0.. O comprimento da lista está limitado a 10 000 itens.O campo ASimMatchingIpAddr é definido com um dos valores SrcIpAddr, DstIpAddrou Both para refletir os campos ou campos correspondentes. |
| url_has_any | dinâmico | Filtre apenas as sessões Web para as quais o campo de URL tem qualquer um dos valores listados. O analisador pode ignorar o esquema do URL transmitido como um parâmetro, se a origem não o comunicar. Se especificado e a sessão não for uma sessão Web, não será devolvido nenhum resultado. O comprimento da lista está limitado a 10 000 itens. |
| httpuseragent_has_any | dinâmico | Filtre apenas as sessões Web para as quais o campo do agente de utilizador tem qualquer um dos valores listados. Se especificado e a sessão não for uma sessão Web, não será devolvido nenhum resultado. O comprimento da lista está limitado a 10 000 itens. |
| eventresultdetails_in | dinâmico | Filtre apenas as sessões Web para as quais o código de estado HTTP, armazenado no campo EventResultDetails , é qualquer um dos valores listados. |
| eventresult | cadeia | Filtre apenas sessões de rede com um valor EventResult específico. |
Alguns parâmetros podem aceitar a lista de valores do tipo dynamic ou um único valor de cadeia. Para transmitir uma lista literal para parâmetros que esperam um valor dinâmico, utilize explicitamente um literal dinâmico. Por exemplo: dynamic(['192.168.','10.'])
Por exemplo, para filtrar apenas sessões Web para uma lista especificada de nomes de domínio, utilize:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Detalhes do esquema
O modelo de informações da Sessão Web está alinhado com o esquema de entidade da Rede OSSEM e o esquema da entidade OSSEM HTTP.
Para estar em conformidade com as melhores práticas do setor, o esquema de Sessão Web utiliza os descritores Src e Dst para identificar os dispositivos de origem e destino da sessão, sem incluir o token Dvc no nome do campo.
Por exemplo, o nome do anfitrião e o endereço IP do dispositivo de origem designam-se SrcHostname e SrcIpAddr , respetivamente, e não SrcDvcHostname e SrcDvcIpAddr. O prefixo Dvc só é utilizado para o dispositivo intermediário ou de relatório, conforme aplicável.
Os campos que descrevem o utilizador e a aplicação associados aos dispositivos de origem e de destino também utilizam os descritores Src e Dst .
Normalmente, outros esquemas ASIM utilizam Destino em vez de Dst.
Campos ASIM comuns
Importante
Os campos comuns a todos os esquemas são descritos em detalhe no artigo Campos Comuns do ASIM .
Campos comuns com diretrizes específicas
A lista seguinte menciona campos que têm diretrizes específicas para eventos de Sessão Web:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| EventType | Obrigatório | Enumerado | Descreve a operação comunicada pelo registo. Os valores permitidos são: - HTTPsession: indica uma sessão de rede utilizada para HTTP ou HTTPS, normalmente comunicada por um dispositivo intermediário, como um proxy ou um gateway de segurança Web.- WebServerSession: indica um pedido HTTP comunicado por um servidor Web. Normalmente, este evento tem menos informações relacionadas com a rede. O URL comunicado não deve incluir um esquema e um nome de servidor, mas apenas a parte do caminho e dos parâmetros do URL. - ApiRequest: indica um pedido HTTP comunicado associado a uma chamada à API, normalmente reportada por um servidor de aplicações. Normalmente, este evento tem menos informações relacionadas com a rede. Quando comunicado pelo servidor da aplicação, o URL comunicado não deve incluir um esquema e um nome de servidor, mas apenas a parte do caminho e dos parâmetros do URL. |
| EventResult | Obrigatório | Enumerado | Descreve o resultado do evento, normalizado para um dos seguintes valores: - Success - Partial - Failure - NA (não aplicável) Para uma sessão HTTP, Success é definido como um código de estado inferior 400a e Failure é definido como um código de estado superior a 400. Para obter uma lista de códigos de estado HTTP, consulte W3 Org.A origem pode fornecer apenas um valor para o campo EventResultDetails , que tem de ser analisado para obter o valor EventResult . |
| EventResultDetails | Recomendado | Enumerado | O código de estado HTTP, conforme definido pelo The World Wide Web Consortium Nota: o valor pode ser fornecido no registo de origem com termos diferentes, que devem ser normalizados para estes valores. O valor original deve ser armazenado no campo EventOriginalResultDetails . |
| EventSchema | Obrigatório | Enumerado | O nome do esquema documentado aqui é WebSession. |
| EventSchemaVersion | Obrigatório | SchemaVersion (Cadeia) | A versão do esquema. A versão do esquema documentado aqui é 0.2.7 |
| Campos dvc | Para eventos de Sessão Web, os campos do dispositivo referem-se ao sistema que reporta o evento de Sessão Web. Normalmente, trata-se de um dispositivo intermediário para HTTPSession eventos e do servidor Web ou de aplicações de destino para WebServerSession eventos e ApiRequest . |
Todos os campos comuns
Os campos que aparecem na tabela abaixo são comuns a todos os esquemas ASIM. Qualquer orientação especificada acima substitui as diretrizes gerais do campo. Por exemplo, um campo pode ser opcional em geral, mas obrigatório para um esquema específico. Para obter mais detalhes sobre cada campo, veja o artigo Campos Comuns do ASIM .
| Classe | Campos |
|---|---|
| Obrigatório |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Recomendado |
-
EventResultDetails - EventoSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Opcional |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Campos Adicionais - DvcDescription - DvcScopeId - DvcScope |
Campos de sessão de rede
As sessões HTTP são sessões de camada de aplicação que utilizam TCP/IP como sessão de camada de rede subjacente. O esquema de Sessão Web é um super conjunto de esquemas de Sessão de Rede ASIM e todos os Campos de Esquema de Rede também estão incluídos no esquema de Sessão Web.
Os seguintes campos de esquema de Sessão de Rede ASIM têm diretrizes específicas quando utilizados para um evento de Sessão Web:
- O alias User deve referir-se ao SrcUsername e não ao DstUsername.
- O campo EventOriginalResultDetails pode conter qualquer resultado comunicado pela origem, além do código de estado HTTP armazenado em EventResultDetails.
- Para Sessões Web, o campo de destino principal é o Campo de URL. O DstDomain é opcional em vez de recomendado. Especificamente, se não estiver disponível, não é necessário extraí-lo do URL no analisador.
- Os campos
NetworkRuleNameeNetworkRuleNumberos nomes são mudados eRuleNumber, respetivamente, são alteradosRuleName.
Os eventos de Sessão Web são normalmente comunicados por dispositivos intermédios que terminam a ligação HTTP do cliente e iniciam uma nova ligação, agindo como um proxy, com o servidor. Para representar o dispositivo intermédio, utilize os campos de dispositivo intermediário esquema de Sessão de Rede ASIM
Campos de sessão HTTP
Seguem-se campos adicionais específicos das sessões Web:
| Campo | Classe | Tipo | Descrição |
|---|---|---|---|
| URL | Obrigatório | URL (Cadeia) | O URL do pedido HTTP, incluindo os parâmetros. Para HTTPSession eventos, o URL pode incluir o esquema e deve incluir o nome do servidor. Normalmente WebServerSession , para e para ApiRequest o URL não incluiria o esquema e o servidor, que podem ser encontrados nos NetworkApplicationProtocol campos e DstFQDN , respetivamente. Exemplo: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | Opcional | Cadeia | O agrupamento definido de um URL ou a parte do domínio do URL. A categoria é normalmente fornecida por gateways de segurança Web e baseia-se no conteúdo do site para o qual o URL aponta. Exemplo: motores de busca, adultos, notícias, publicidade e domínios estacionados. |
| UrlOriginal | Opcional | URL (Cadeia) | O valor original do URL, quando o URL foi modificado pelo dispositivo de relatório e ambos os valores são fornecidos. |
| HttpVersion | Opcional | Cadeia | A Versão do Pedido HTTP. Exemplo: 2.0 |
| HttpRequestMethod | Recomendado | Enumerado | O Método HTTP. Os valores são conforme definidos em RFC 7231 e RFC 5789 e incluem GET, HEAD, , POST, PUT, DELETE, CONNECT, OPTIONS, e TRACEPATCH.Exemplo: GET |
| HttpStatusCode | Alias | O Código de Estado HTTP. Alias para EventResultDetails. | |
| HttpContentType | Opcional | Cadeia | O cabeçalho do tipo de conteúdo Resposta HTTP. Nota: o campo HttpContentType pode incluir o formato de conteúdo e os parâmetros adicionais, como a codificação utilizada para obter o formato real. Exemplo: text/html; charset=ISO-8859-4 |
| HttpContentFormat | Opcional | Cadeia | A parte do formato de conteúdo do HttpContentType Exemplo: text/html |
| HttpReferrer | Opcional | Cadeia | O cabeçalho do referenciador HTTP. Nota: o ASIM, em sincronização com o OSSEM, utiliza a ortografia correta para o referenciador e não a ortografia do cabeçalho HTTP original. Exemplo: https://developer.mozilla.org/docs |
| HttpUserAgent | Opcional | Cadeia | O cabeçalho do agente de utilizador HTTP. Exemplo: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, como Lagartixa)Chrome/83.0.4103.97 Safari/537.36 |
| UserAgent | Alias | Alias para HttpUserAgent | |
| HttpRequestXff | Opcional | Endereço IP | O cabeçalho HTTP X-Forwarded-For. Exemplo: 120.12.41.1 |
| HttpRequestTime | Opcional | Número inteiro | A quantidade de tempo, em milissegundos, demorou a enviar o pedido para o servidor, se aplicável. Exemplo: 700 |
| HttpResponseTime | Opcional | Número inteiro | A quantidade de tempo, em milissegundos, demorou a receber uma resposta no servidor, se aplicável. Exemplo: 800 |
| HttpHost | Opcional | Cadeia | O servidor Web virtual que o pedido HTTP tem como destino. Normalmente, este valor baseia-se no cabeçalho do Anfitrião HTTP. |
| NomedoFicheiro | Opcional | Cadeia | Para carregamentos HTTP, o nome do ficheiro carregado. |
| FileMD5 | Opcional | MD5 | Para carregamentos HTTP, o hash MD5 do ficheiro carregado. Exemplo: 75a599802f1fa166cdadb360960b1dd0 |
| FileSHA1 | Opcional | SHA1 | Para carregamentos HTTP, o hash SHA1 do ficheiro carregado. Exemplo: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| FileSHA256 | Opcional | SHA256 | Para carregamentos HTTP, o hash SHA256 do ficheiro carregado. Exemplo: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| FileSHA512 | Opcional | SHA512 | Para carregamentos HTTP, o hash SHA512 do ficheiro carregado. |
| Hash | Alias | Alias para o campo Hash disponível. | |
| HashType | Condicional | Enumerado | O tipo de hash no campo Hash . Os valores possíveis incluem: MD5, SHA1, SHA256e SHA512. |
| Tamanho do Ficheiro | Opcional | Longo | Para carregamentos HTTP, o tamanho em bytes do ficheiro carregado. |
| FileContentType | Opcional | Cadeia | Para carregamentos HTTP, o tipo de conteúdo do ficheiro carregado. |
| HttpCookie | Opcional | Cadeia | O conteúdo do cabeçalho do cookie HTTP enviado do cliente para o servidor, que contém pares nome-valor de dados de sessão. Exemplo: session_id=abc123; user_pref=dark_mode |
| HttpIsProxied | Opcional | Booleano | Indica se o pedido HTTP foi enviado através de um servidor proxy. Exemplo: true |
| HttpRequestBodyBytes | Opcional | Longo | O tamanho do corpo do pedido HTTP em bytes, sem incluir cabeçalhos. Exemplo: 1024 |
| HttpRequestCacheControl | Opcional | Cadeia | O conteúdo do cabeçalho do pedido http Cache-Control, especificando diretivas de colocação em cache do cliente. Exemplo: no-cache |
| HttpRequestHeaderCount | Opcional | Número inteiro | O número de cabeçalhos HTTP incluídos no pedido. Exemplo: 12 |
| HttpResponseBodyBytes | Opcional | Longo | O tamanho do corpo da resposta HTTP em bytes, sem incluir cabeçalhos. Exemplo: 8192 |
| HttpResponseCacheControl | Opcional | Cadeia | O conteúdo do cabeçalho de resposta Cache-Control HTTP, especificando diretivas de colocação em cache do servidor. Exemplo: max-age=3600, public |
| HttpResponseExpires | Opcional | Cadeia | O conteúdo do cabeçalho de resposta HTTP Expira, que indica quando o conteúdo da resposta expira. Exemplo: Thu, 01 Dec 2024 16:00:00 GMT |
| HttpResponseHeaderCount | Opcional | Número inteiro | O número de cabeçalhos HTTP incluídos na resposta. Exemplo: 15 |
Outros campos
Se o evento for comunicado por um dos pontos finais da sessão Web, poderá incluir informações sobre o processo que iniciou ou terminou a sessão. Nesses casos, o esquema evento de processo ASIM para normalizar estas informações.
Atualizações de esquema
O esquema de Sessão Web depende do esquema de Sessão de Rede. Por conseguinte, as atualizações do esquema de Sessão de Rede também se aplicam ao esquema de Sessão Web.
Seguem-se as alterações na versão 0.2.5 do esquema:
- Adicionado o campo
HttpHost.
Seguem-se as alterações na versão 0.2.6 do esquema:
- O tipo de FileSize foi alterado de Número Inteiro para Longo.
Seguem-se as alterações na versão 0.2.7 do esquema:
- Foram adicionados os campos
HttpCookie,HttpIsProxied,HttpRequestBodyBytes,HttpRequestCacheControl,HttpRequestHeaderCount,HttpResponseBodyBytes,HttpResponseCacheControl,HttpResponseExpireseHttpResponseHeaderCount.
Passos seguintes
Para mais informações, consulte:
- Ver o Webinar do ASIM ou rever os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)