Schemareferens för normalisering av webbsessioner i ASIM (Advanced Security Information Model) (offentlig förhandsversion)
Schemat för webbsessionsnormalisering används för att beskriva en IP-nätverksaktivitet. Ip-nätverksaktiviteter rapporteras till exempel av webbservrar, webbproxyservrar och webbsäkerhetsgatewayer.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Viktigt
Schemat för nätverksnormalisering finns för närvarande i förhandsversion. Den här funktionen tillhandahålls utan ett serviceavtal och rekommenderas inte för produktionsarbetsbelastningar.
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Översikt över schema
Normaliseringsschemat för webbsessionen representerar alla HTTP-nätverkssessioner och är lämpligt för att ge stöd för vanliga källtyper, inklusive:
- Webbservrar
- Webbproxy
- Webbsäkerhetsgatewayer
ASIM-webbsessionsschemat representerar HTTP- och HTTPS-protokollaktivitet. Eftersom schemat representerar protokollaktivitet styrs det av RFC:er och officiellt tilldelade parameterlistor, som refereras till i den här artikeln när det är lämpligt.
Webbsessionsschemat representerar inte granskningshändelser från källenheter. Till exempel kan en händelse som ändrar en Web Security Gateway-princip inte representeras av webbsessionsschemat.
Eftersom HTTP-sessioner är programnivåsessioner som använder TCP/IP som den underliggande nätverksnivåsessionen är webbsessionsschemat en superuppsättning av ASIM-nätverkssessionsschemat.
De viktigaste fälten i ett webbsessionsschema är:
- Url, som rapporterar url:en som klienten begärde från servern.
- SrcIpAddr (alias till IpAddr), som representerar DEN IP-adress som begäran genererades från.
- Fältet EventResultDetails , som vanligtvis rapporterar HTTP-statuskoden.
Webbsessionshändelser kan också innehålla användar- och processinformation för användaren och processen som initierar begäran.
Tolkar
Mer information om ASIM-parsare finns i översikten över ASIM-parsare.
Enande parsers
Om du vill använda parsers som förenar alla ASIM-parsare och ser till att analysen körs över alla konfigurerade källor använder _Im_WebSession du filtreringsparsern eller parsern _ASim_WebSession utan parameter.
Du kan också använda arbetsytedistribuerade ImWebSession och ASimWebSession parsare genom att distribuera dem från Microsoft Sentinel GitHub-lagringsplatsen. Mer information finns i inbyggda ASIM-parsare och arbetsytedistribuerade parsare.
Färdiga källspecifika parsare
För listan över webbsessionsparsers tillhandahåller Microsoft Sentinel out-of-the-box se ASIM-parsningslistan
Lägg till dina egna normaliserade parsers
När du implementerar anpassade parsers för webbsessionsinformationsmodellen namnger du dina KQL-funktioner med följande syntax:
vimWebSession<vendor><Product>för parametriserade parsersASimWebSession<vendor><Product>för vanliga parsare
Filtrera parsningsparametrar
Parsarna im och vim* stöder filtreringsparametrar. Även om de här parsarna är valfria kan de förbättra frågeprestandan.
Följande filtreringsparametrar är tillgängliga:
| Namn | Typ | Description |
|---|---|---|
| Starttime | datetime | Filtrera endast webbsessioner som startade vid eller efter den här tiden. |
| Endtime | datetime | Filtrera endast webbsessioner som började köras vid eller före den här tiden. |
| srcipaddr_has_any_prefix | dynamisk | Filtrera endast webbsessioner där käll-IP-adressfältets prefix finns i något av de angivna värdena. Listan med värden kan innehålla IP-adresser och IP-adressprefix. Prefix bör sluta med ett ., till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt. |
| ipaddr_has_any_prefix | dynamisk | Filtrera endast nätverkssessioner där mål-IP-adressfältet eller käll-IP-adressfältprefixet finns i något av de angivna värdena. Prefix bör sluta med ett ., till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt.Fältet ASimMatchingIpAddr anges med ett av värdena SrcIpAddr, DstIpAddreller Both för att återspegla matchande fält eller fält. |
| url_has_any | dynamisk | Filtrera endast webbsessioner där URL-fältet har något av de värden som anges. Parsern kan ignorera schemat för url:en som skickas som en parameter, om källan inte rapporterar den. Om det anges och sessionen inte är en webbsession returneras inget resultat. Listans längd är begränsad till 10 000 objekt. |
| httpuseragent_has_any | dynamisk | Filtrera endast webbsessioner där användaragentfältet har något av de värden som anges. Om det anges och sessionen inte är en webbsession returneras inget resultat. Listans längd är begränsad till 10 000 objekt. |
| eventresultdetails_in | dynamisk | Filtrera endast webbsessioner för vilka HTTP-statuskoden, som lagras i fältet EventResultDetails , är något av de värden som anges. |
| eventresult | sträng | Filtrera endast nätverkssessioner med ett specifikt EventResult-värde . |
Vissa parametrar kan acceptera både en lista med värden av typen dynamic eller ett enda strängvärde. Om du vill skicka en literallista till parametrar som förväntar sig ett dynamiskt värde använder du uttryckligen en dynamisk literal. Exempelvis: dynamic(['192.168.','10.'])
Om du till exempel bara vill filtrera webbsessioner för en angiven lista med domännamn använder du:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Schemainformation
Informationsmodellen för webbsessioner är justerad med OSSEM-nätverksentitetsschemat och OSSEM HTTP-entitetsschemat.
För att följa branschens metodtips använder webbsessionsschemat deskriptorerna Src och Dst för att identifiera sessionskällan och målenheterna, utan att inkludera token-Dvc i fältnamnet.
Till exempel heter källenhetens värdnamn och IP-adress SrcHostname respektive SrcIpAddr , och inte SrcDvcHostname och SrcDvcIpAddr. Prefixet Dvc används endast för rapporterings- eller mellanliggande enheter, beroende på vad som är tillämpligt.
Fält som beskriver användaren och programmet som är associerade med käll- och målenheterna använder också Src - och Dst-beskrivningarna .
Andra ASIM-scheman använder vanligtvis Target i stället för Dst.
Vanliga ASIM-fält
Viktigt
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för webbsessionshändelser:
| Fält | Klass | Typ | Description |
|---|---|---|---|
| Eventtype | Obligatorisk | Enumerated | Beskriver den åtgärd som rapporterats av posten. Tillåtna värden är: - HTTPsession: Anger en nätverkssession som används för HTTP eller HTTPS, som vanligtvis rapporteras av en mellanliggande enhet, till exempel en proxy eller en webbsäkerhetsgateway.- WebServerSession: Anger en HTTP-begäran som rapporteras av en webbserver. En sådan händelse har vanligtvis mindre nätverksrelaterad information. Den rapporterade URL:en ska inte innehålla ett schema och ett servernamn, utan endast sökvägen och parametrarna i URL:en. - ApiRequest: Anger en HTTP-begäran som rapporteras associerad med ett API-anrop, som vanligtvis rapporteras av en programserver. En sådan händelse har vanligtvis mindre nätverksrelaterad information. När den rapporteras av programservern ska den rapporterade URL:en inte innehålla ett schema och ett servernamn, utan endast sökvägen och parametrarna i URL:en. |
| EventResult | Obligatorisk | Enumerated | Beskriver händelseresultatet, normaliserat till något av följande värden: - Success - Partial - Failure - NA (ej tillämpligt)För en HTTP-session Success definieras som en statuskod som är lägre än 400och Failure definieras som en statuskod som är högre än 400. En lista över HTTP-statuskoder finns i W3 Org.Källan kan endast ge ett värde för fältet EventResultDetails , som måste analyseras för att hämta värdet EventResult . |
| EventResultDetails | Rekommenderas | Sträng | HTTP-statuskoden. Obs! Värdet kan anges i källposten med olika termer, som bör normaliseras till dessa värden. Det ursprungliga värdet ska lagras i fältet EventOriginalResultDetails . |
| EventSchema | Obligatorisk | Sträng | Namnet på schemat som dokumenteras här är WebSession. |
| EventSchemaVersion | Obligatorisk | Sträng | Versionen av schemat. Den version av schemat som dokumenteras här är 0.2.6 |
| Dvc-fält | För webbsessionshändelser refererar enhetsfälten till systemet som rapporterar webbsessionshändelsen. Detta är vanligtvis en mellanliggande enhet för HTTPSession händelser och målwebb- eller programservern för WebServerSession och ApiRequest händelser. |
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Alla riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett visst schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk | - EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderas | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Nätverkssessionsfält
HTTP-sessioner är programnivåsessioner som använder TCP/IP som den underliggande nätverksnivåsessionen. Webbsessionsschemat är en superuppsättning asim-nätverkssessionsschema och alla fält för nätverksschema ingår också i schemat för webbsessioner.
Följande ASIM-schemafält för nätverkssessioner har specifika riktlinjer när de används för en webbsessionshändelse:
- Aliasanvändaren bör referera till SrcUsername och inte DstUsername.
- Fältet EventOriginalResultDetails kan innehålla alla resultat som rapporteras av källan utöver HTTP-statuskoden som lagras i EventResultDetails.
- För webbsessioner är det primära målfältet URL-fältet. DstDomain är valfritt i stället för rekommenderat. Mer specifikt, om det inte är tillgängligt, finns det inget behov av att extrahera den från URL:en i parsern.
- Fälten
NetworkRuleNameochNetworkRuleNumberbytRuleNamenamn ochRuleNumberrespektive.
Webbsessionshändelser rapporteras ofta av mellanliggande enheter som avslutar HTTP-anslutningen från klienten och initierar en ny anslutning, som fungerar som proxy, med servern. Om du vill representera den mellanliggande enheten använder du asim-nätverkssessionsschematMellanliggande enhetsfält
HTTP-sessionsfält
Följande är ytterligare fält som är specifika för webbsessioner:
| Fält | Klass | Typ | Description |
|---|---|---|---|
| Url | Obligatorisk | Sträng | URL:en för HTTP-begäran, inklusive parametrar. För HTTPSession händelser kan URL:en innehålla schemat och bör innehålla servernamnet. För WebServerSession och för ApiRequest URL:en inkluderas vanligtvis inte schemat och servern, som finns i fälten NetworkApplicationProtocol och DstFQDN . Exempel: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | Valfritt | Sträng | Den definierade gruppering av en URL eller domändelen av URL:en. Kategorin tillhandahålls ofta av webbsäkerhetsgatewayer och baseras på innehållet på webbplatsen som URL:en pekar på. Exempel: sökmotorer, vuxna, nyheter, annonsering och parkerade domäner. |
| UrlOriginal | Valfritt | Sträng | Det ursprungliga värdet för URL:en, när URL:en ändrades av rapporteringsenheten och båda värdena anges. |
| HttpVersion | Valfritt | Sträng | HTTP-begärandeversionen. Exempel: 2.0 |
| HttpRequestMethod | Rekommenderas | Enumerated | HTTP-metoden. Värdena är som de definieras i RFC 7231 och RFC 5789 och inkluderar GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACEoch PATCH.Exempel: GET |
| HttpStatusCode | Alias | HTTP-statuskoden. Alias för EventResultDetails. | |
| HttpContentType | Valfritt | Sträng | Innehållstypen HTTP-svarsrubrik. Obs! Fältet HttpContentType kan innehålla både innehållsformatet och extra parametrar, till exempel den kodning som används för att hämta det faktiska formatet. Exempel: text/html; charset=ISO-8859-4 |
| HttpContentFormat | Valfritt | Sträng | Innehållsformatdelen i HttpContentType Exempel: text/html |
| HttpReferrer | Valfritt | Sträng | HTTP-referensrubriken. Obs! ASIM, synkroniserat med OSSEM, använder rätt stavning för referenter och inte den ursprungliga STAVningen av HTTP-huvudet. Exempel: https://developer.mozilla.org/docs |
| HttpUserAgent | Valfritt | Sträng | HTTP-användaragentens huvud. Exempel: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, som Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| Useragent | Alias | Alias till HttpUserAgent | |
| HttpRequestXff | Valfritt | IP-adress | HTTP X-Forwarded-For-huvudet. Exempel: 120.12.41.1 |
| HttpRequestTime | Valfritt | Integer | Hur lång tid det tog i millisekunder att skicka begäran till servern, om tillämpligt. Exempel: 700 |
| HttpResponseTime | Valfritt | Integer | Hur lång tid det tog i millisekunder att ta emot ett svar på servern, om tillämpligt. Exempel: 800 |
| HttpHost | Valfritt | Sträng | Den virtuella webbserver som HTTP-begäran har riktats mot. Det här värdet baseras vanligtvis på HTTP-värdhuvudet. |
| Filnamn | Valfritt | Sträng | För HTTP-uppladdningar, namnet på den uppladdade filen. |
| FileMD5 | Valfritt | MD5 | För HTTP-uppladdningar, MD5-hashen för den uppladdade filen. Exempel: 75a599802f1fa166cdadb360960b1dd0 |
| FileSHA1 | Valfritt | SHA1 | För HTTP-uppladdningar sha1-hash för den uppladdade filen. Exempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| FileSHA256 | Valfritt | SHA256 | Sha256-hashen för den uppladdade filen för HTTP-uppladdningar. Exempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| FileSHA512 | Valfritt | SHA512 | Sha512-hashen för den uppladdade filen för HTTP-uppladdningar. |
| Hash | Alias | Alias för det tillgängliga hash-fältet. | |
| FileHashType | Valfritt | Enumerated | Typen av hash i hash-fältet . Möjliga värden är: MD5, SHA1, SHA256och SHA512. |
| Filstorlek | Valfritt | Lång | För HTTP-uppladdningar är storleken i byte för den uppladdade filen. |
| FileContentType | Valfritt | Sträng | För HTTP-uppladdningar är innehållstypen för den uppladdade filen. |
Andra fält
Om händelsen rapporteras av en av slutpunkterna i webbsessionen kan den innehålla information om processen som initierade eller avslutade sessionen. I sådana fall ska ASIM-processhändelseschemat normalisera den här informationen.
Schemauppdateringar
Webbsessionsschemat förlitar sig på schemat nätverkssession. Därför gäller schemauppdateringar för nätverkssessioner även för webbsessionsschemat.
Följande är ändringarna i version 0.2.5 av schemat:
- Fältet har lagts till
HttpHost.
Följande är ändringarna i version 0.2.6 av schemat:
- Typen av FileSize ändrades från Heltal till Lång.
Nästa steg
Mer information finns i: