Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bir IP ağ etkinliğini açıklamak için Web Oturumu normalleştirme şeması kullanılır. Örneğin, IP ağ etkinlikleri web sunucuları, web proxy'leri ve web güvenliği ağ geçitleri tarafından bildirilir.
Microsoft Sentinel normalleştirme hakkında daha fazla bilgi için bkz. Normalleştirme ve Gelişmiş Güvenlik Bilgi Modeli (ASIM).
Şemaya genel bakış
Web Oturumu normalleştirme şeması herhangi bir HTTP ağ oturumunu temsil eder ve aşağıdakiler de dahil olmak üzere yaygın kaynak türleri için destek sağlamaya uygundur:
- Web sunucuları
- Web proxy'leri
- Web güvenliği ağ geçitleri
ASIM Web Oturumu şeması HTTP ve HTTPS protokol etkinliğini temsil eder. Şema protokol etkinliğini temsil ettiğinden, UYGUN olduğunda bu makalede başvurulan RFC'ler ve resmi olarak atanmış parametre listeleri tarafından yönetilir.
Web Oturumu şeması, kaynak cihazlardan gelen denetim olaylarını temsil etmez. Örneğin, Bir Web Güvenliği Ağ Geçidi ilkesini değiştiren bir olay Web Oturumu şeması tarafından temsil edilemez.
HTTP oturumları, temel ağ katmanı oturumu olarak TCP/IP kullanan uygulama katmanı oturumları olduğundan, Web Oturumu şeması ASIM Ağ Oturumu şemasının süper kümesidir.
Web Oturumu şemasındaki en önemli alanlar şunlardır:
- url, istemcinin sunucudan istediği URL'yi bildirir.
- İsteğin oluşturulduğu IP adresini temsil eden SrcIpAddr ( IpAddr ile diğer adı kullanılır).
- Genellikle HTTP Durum Kodunu bildiren EventResultDetails alanı.
Web Oturumu olayları, kullanıcı ve isteği başlatan işlem için Kullanıcı ve İşlem bilgilerini de içerebilir.
Çözümleyicileri
ASIM ayrıştırıcıları hakkında daha fazla bilgi için bkz. ASIM ayrıştırıcılarına genel bakış.
Ayrıştırıcıları birleştirme
Tüm ASIM kullanıma alınmış ayrıştırıcıları birleştiren ayrıştırıcıları kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için ayrıştırıcıyı _Im_WebSession kullanın.
Kullanıma açık, kaynağa özgü ayrıştırıcılar
Web Oturumu ayrıştırıcıları listesi için Microsoft Sentinel kullanıma hazır olarak sunulan ASIM ayrıştırıcıları listesine bakın
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Web Oturumu bilgi modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın:
-
vimWebSession<vendor><Product>parametrized ayrıştırıcılar için -
ASimWebSession<vendor><Product>normal ayrıştırıcılar için
Ayrıştırıcı parametrelerini filtreleme
im ve vim* ayrıştırıcıları filtreleme parametrelerini destekler. Bu ayrıştırıcılar isteğe bağlı olsa da sorgu performansınızı artırabilir.
Aşağıdaki filtreleme parametreleri kullanılabilir:
| Name | Tür | Açıklama |
|---|---|---|
| Starttime | Datetime | Yalnızca şu anda veya sonrasında başlayan Web oturumlarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated . |
| Endtime | Datetime | Yalnızca şu anda veya öncesinde çalışmaya başlayan Web oturumlarını filtreleyin. Bu parametre, EventStartTime ve EventEndTime alanlarının ayrıştırıcıya özgü eşlemesine bakılmaksızın, olay zamanı için standart belirleyici olan alana filtrelenir TimeGenerated . |
| srcipaddr_has_any_prefix | Dinamik | Yalnızca kaynak IP adresi alan ön ekinin listelenen değerlerden birinde yer aldığı Web oturumlarını filtreleyin. Değer listesi IP adreslerini ve IP adresi ön eklerini içerebilir. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| ipaddr_has_any_prefix | Dinamik | Yalnızca hedef IP adresi alanının veya kaynak IP adresi alanı ön ekinin listelenen değerlerden birinde yer aldığı ağ oturumlarını filtreleyin. Ön ekler ile .bitmelidir, örneğin: 10.0.. Listenin uzunluğu 10.000 öğeyle sınırlıdır.ASimMatchingIpAddr alanı , DstIpAddrveya değerlerinden SrcIpAddrbiriyle veya Both eşleşen alanları veya alanları yansıtacak şekilde ayarlanır. |
| url_has_any | Dinamik | Yalnızca URL alanında listelenen değerlerden herhangi birinin bulunduğu Web oturumlarını filtreleyin. Kaynak raporlamazsa ayrıştırıcı parametre olarak geçirilen URL'nin şemasını yoksayabilir. Belirtilirse ve oturum bir web oturumu değilse sonuç döndürülür. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| httpuseragent_has_any | Dinamik | Yalnızca kullanıcı aracısı alanında listelenen değerlerden herhangi birinin bulunduğu web oturumlarını filtreleyin. Belirtilirse ve oturum bir web oturumu değilse sonuç döndürülür. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
| eventresultdetails_in | Dinamik | Yalnızca EventResultDetails alanında depolanan HTTP durum kodunun listelenen değerlerden biri olduğu web oturumlarını filtreleyin. |
| eventresult | dize | Yalnızca belirli bir EventResult değerine sahip ağ oturumlarını filtreleyin. |
Bazı parametreler hem tür dynamic değerleri listesini hem de tek bir dize değerini kabul edebilir. Dinamik değer bekleyen parametrelere değişmez değer listesi geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.'])
Örneğin, yalnızca belirtilen etki alanı adları listesi için Web oturumlarını filtrelemek için şunu kullanın:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Şema ayrıntıları
Web Oturumu bilgi modeli, OSSEM Ağ varlık şeması ve OSSEM HTTP varlık şemasıyla hizalanır.
Web Oturumu şeması, sektörün en iyi yöntemlerine uymak için, alan adına Dvc belirtecini eklemeden oturum kaynağını ve hedef cihazları tanımlamak için Src ve Dst tanımlayıcılarını kullanır.
Bu nedenle, örneğin kaynak cihaz ana bilgisayar adı ve IP adresi sırasıyla SrcHostname ve SrcIpAddr olarak adlandırılır ve SrcDvcAna Bilgisayar Adı ve SrcDvcIpAddr olarak adlandırılmaz. Dvc ön eki yalnızca raporlama veya aracı cihaz için kullanılabilir.
Kaynak ve hedef cihazlarla ilişkili kullanıcı ve uygulamayı açıklayan alanlar da Src ve Dst tanımlayıcılarını kullanır.
Diğer ASIM şemaları genellikle Dst yerine Target kullanır.
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede, Web Oturumu olayları için belirli yönergelere sahip alanlardan bahsedmektedir:
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Eventtype | Zorunlu | Numaralandırılmış | Kayıt tarafından bildirilen işlemi açıklar. İzin verilen değerler şunlardır: - HTTPsession: HTTP veya HTTPS için kullanılan ve genellikle ara sunucu veya Web güvenlik ağ geçidi gibi bir aracı cihaz tarafından bildirilen ağ oturumlarını belirtir.- WebServerSession: Web sunucusu tarafından bildirilen bir HTTP isteğini belirtir. Böyle bir olay genellikle ağ ile ilgili daha az bilgiye sahiptir. Bildirilen URL bir şema ve sunucu adı değil, yalnızca URL'nin yolu ve parametreleri bölümünü içermelidir. - ApiRequest: Api çağrısıyla ilişkilendirilmiş ve genellikle uygulama sunucusu tarafından bildirilen bir HTTP isteğini belirtir. Böyle bir olay genellikle ağ ile ilgili daha az bilgiye sahiptir. Uygulama sunucusu tarafından bildirildiğinde, bildirilen URL'nin bir şema ve sunucu adı içermemesi, yalnızca URL'nin yol ve parametreler bölümünü içermesi gerekir. |
| EventResult | Zorunlu | Numaralandırılmış | Olay sonucunu açıklar ve aşağıdaki değerlerden biriyle normalleştirilir: - Success - Partial - Failure - NA (uygulanamaz) HTTP oturumu için, Success değerinden 400küçük bir durum kodu olarak tanımlanır ve Failure daha 400yüksek bir durum kodu olarak tanımlanır. HTTP durum kodlarının listesi için bkz. W3 Org.Kaynak yalnızca EventResultDetails alanı için eventResultdeğerini almak için analiz edilmesi gereken bir değer sağlayabilir. |
| EventResultDetails | Önerilen | Numaralandırılmış |
The World Wide Web Consortium tarafından tanımlanan HTTP durum kodu Not: Değer kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değerlerle normalleştirilmelidir. Özgün değer EventOriginalResultDetails alanında depolanmalıdır. |
| EventSchema | Zorunlu | Numaralandırılmış | Burada belgelenen şemanın adıdır WebSession. |
| EventSchemaVersion | Zorunlu | SchemaVersion (Dize) | Şemanın sürümü. Şemanın burada belgelenen sürümü 0.2.7 |
| Dvc alanları | Web Oturumu olayları için cihaz alanları Web Oturumu olayını bildiren sisteme başvurur. Bu genellikle olaylar için aracı bir cihaz ve ve olayları için HTTPSessionWebServerSessionApiRequest hedef web veya uygulama sunucusudur. |
Tüm ortak alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.
| Sınıfı | Alanları |
|---|---|
| Zorunlu |
-
EventCount - EventStartTime - EventEndTime - Eventtype - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Önerilen |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| İsteğe bağlı |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcO'lar - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Ağ oturumu alanları
HTTP oturumları, temel ağ katmanı oturumu olarak TCP/IP kullanan uygulama katmanı oturumlarıdır. Web Oturumu şeması , ASIM Ağ Oturumu şemasının süper kümesidir ve tüm Ağ Şeması Alanları da Web Oturumu şemasına dahil edilir.
Aşağıdaki ASIM Ağ Oturumu şema alanları, bir Web Oturumu olayı için kullanıldığında belirli yönergelere sahiptir:
- Kullanıcı diğer adı DstUsername'e değil SrcUsername'e başvurmalıdır.
- EventOriginalResultDetails alanı, EventResultDetails içinde depolanan HTTP durum koduna ek olarak kaynak tarafından bildirilen herhangi bir sonucu tutabilir.
- Web Oturumları için birincil hedef alanı Url Alanı'dır. DstDomain önerilen yerine isteğe bağlıdır. Özellikle, kullanılamıyorsa ayrıştırıcıdaki URL'den ayıklamaya gerek yoktur.
- ve alanları
NetworkRuleNamesırasıyla yeniden adlandırılırRuleNameRuleNumber.NetworkRuleNumber
Web Oturumu olayları genellikle istemciden HTTP bağlantısını sonlandıran ve sunucuyla ara sunucu olarak davranan yeni bir bağlantı başlatan ara cihazlar tarafından bildirilir. Ara cihazı temsil etmek için ASIM Ağ Oturumu şemasıAracı cihaz alanlarını kullanın
HTTP oturum alanları
Web oturumlarına özgü ek alanlar şunlardır:
| Alan | Sınıfı | Tür | Açıklama |
|---|---|---|---|
| Url | Zorunlu | URL (Dize) | Parametreler de dahil olmak üzere HTTP isteği URL'si. Olaylar için HTTPSession URL şemayı içerebilir ve sunucu adını içermelidir. ve WebServerSession URL'si için ApiRequest genellikle şemayı ve sunucuyu içermez. Bu şema sırasıyla ve DstFQDN alanlarında bulunabilirNetworkApplicationProtocol. Örnek: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | İsteğe bağlı | Dize | BIR URL'nin veya URL'nin etki alanı bölümünün tanımlanmış gruplandırma. Kategori genellikle web güvenlik ağ geçitleri tarafından sağlanır ve URL'nin işaret ettiği sitenin içeriğini temel alır. Örnek: arama motorları, yetişkin, haber, reklam ve park edilmiş etki alanları. |
| UrlOriginal | İsteğe bağlı | URL (Dize) | URL raporlama cihazı tarafından değiştirildiğinde ve her iki değer de sağlandığında URL'nin özgün değeri. |
| HttpVersion | İsteğe bağlı | Dize | HTTP İsteği Sürümü. Örnek: 2.0 |
| HttpRequestMethod | Önerilen | Numaralandırılmış | HTTP Yöntemi. Değerler RFC 7231 ve RFC 5789'da tanımlandığı şekildedir ve , , HEAD, POST, PUT, DELETE, CONNECT, , OPTIONSve TRACEPATCHdeğerlerini içerirGET.Örnek: GET |
| HttpStatusCode | Diğer ad | HTTP Durum Kodu. EventResultDetails diğer adı. | |
| HttpContentType | İsteğe bağlı | Dize | HTTP Yanıtı içerik türü üst bilgisi. Not: HttpContentType alanı hem içerik biçimini hem de gerçek biçimi almak için kullanılan kodlama gibi ek parametreleri içerebilir. Örnek: text/html; charset=ISO-8859-4 |
| HttpContentFormat | İsteğe bağlı | Dize |
HttpContentType'ın içerik biçimi bölümü Örnek: text/html |
| HttpReferrer | İsteğe bağlı | Dize | HTTP başvuran üst bilgisi. Not: ASIM, OSSEM ile eşitlenmiş durumda, özgün HTTP üst bilgisi yazımını değil, başvuran için doğru yazımı kullanır. Örnek: https://developer.mozilla.org/docs |
| HttpUserAgent | İsteğe bağlı | Dize | HTTP kullanıcı aracısı üst bilgisi. Örneğin: Mozilla/5.0(Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, Gecko gibi)Chrome/83.0.4103.97 Safari/537.36 |
| UserAgent | Diğer ad | HttpUserAgent diğer adı | |
| HttpRequestXff | İsteğe bağlı | IP Adresi | HTTP X-Forwarded-For üst bilgisi. Örnek: 120.12.41.1 |
| HttpRequestTime | İsteğe bağlı | Tamsayı | İsteğin sunucuya gönderilmesi için milisaniye cinsinden geçen süre (varsa). Örnek: 700 |
| HttpResponseTime | İsteğe bağlı | Tamsayı | Mümkünse sunucuda yanıt almak için geçen milisaniye cinsinden süre. Örnek: 800 |
| HttpHost | İsteğe bağlı | Dize | HTTP isteğinin hedeflediği sanal web sunucusu. Bu değer genellikle HTTP Ana Bilgisayarı üst bilgisini temel alır. |
| Dosyaadı | İsteğe bağlı | Dize | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın adı. |
| FileMD5 | İsteğe bağlı | MD5 | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın MD5 karması. Örnek: 75a599802f1fa166cdadb360960b1dd0 |
| FileSHA1 | İsteğe bağlı | SHA1 | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın SHA1 karması. Örneğin: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| FileSHA256 | İsteğe bağlı | SHA256 | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın SHA256 karması. Örneğin: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| FileSHA512 | İsteğe bağlı | SHA512 | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın SHA512 karması. |
| Karma | Diğer ad | Kullanılabilir Karma alanının diğer adı. | |
| HashType | Koşullu | Numaralandırılmış |
Karma alanındaki karmanın türü. Olası değerler şunlardır: MD5, SHA1, SHA256ve SHA512. |
| Filesize | İsteğe bağlı | Uzun | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın bayt cinsinden boyutu. |
| FileContentType | İsteğe bağlı | Dize | HTTP karşıya yüklemeleri için, karşıya yüklenen dosyanın içerik türü. |
| HttpCookie | İsteğe bağlı | Dize | İstemciden sunucuya gönderilen VE oturum verilerinin ad-değer çiftlerini içeren HTTP tanımlama bilgisi üst bilgisinin içeriği. Örnek: session_id=abc123; user_pref=dark_mode |
| HttpIsProxied | İsteğe bağlı | Boole | HTTP isteğinin bir ara sunucu üzerinden gönderilip gönderilmediğini gösterir. Örnek: true |
| HttpRequestBodyBytes | İsteğe bağlı | Uzun | HTTP isteği gövdesinin üst bilgiler dahil değil bayt cinsinden boyutu. Örnek: 1024 |
| HttpRequestCacheControl | İsteğe bağlı | Dize | İstemciden önbelleğe alma yönergelerini belirten HTTP Cache-Control istek üst bilgisinin içeriği. Örnek: no-cache |
| HttpRequestHeaderCount | İsteğe bağlı | Tamsayı | İstekte bulunan HTTP üst bilgilerinin sayısı. Örnek: 12 |
| HttpResponseBodyBytes | İsteğe bağlı | Uzun | HTTP yanıt gövdesinin üst bilgiler dahil değil bayt cinsinden boyutu. Örnek: 8192 |
| HttpResponseCacheControl | İsteğe bağlı | Dize | HTTP Cache-Control yanıt üst bilgisinin içeriği, sunucudan önbelleğe alma yönergelerini belirtir. Örnek: max-age=3600, public |
| HttpResponseExpires | İsteğe bağlı | Dize | HTTP'nin içeriğinin süresi dolar yanıt üst bilgisi, yanıt içeriğinin süresinin ne zaman dolduğunu gösterir. Örnek: Thu, 01 Dec 2024 16:00:00 GMT |
| HttpResponseHeaderCount | İsteğe bağlı | Tamsayı | Yanıta dahil edilen HTTP üst bilgilerinin sayısı. Örnek: 15 |
Diğer alanlar
Olay web oturumunun uç noktalarından biri tarafından bildirilirse, oturumu başlatan veya sonlandıran işlem hakkında bilgi içerebilir. Bu gibi durumlarda, bu bilgileri normalleştirmek için ASIM İşlem Olayı şeması .
Şema güncelleştirmeleri
Web Oturumu şeması, Ağ Oturumu şemasına bağlıdır. Bu nedenle, Ağ Oturumu şema güncelleştirmeleri Web Oturumu şemasına da uygulanır.
Şemanın 0.2.5 sürümündeki değişiklikler şunlardır:
- alanı
HttpHosteklendi.
Şemanın 0.2.6 sürümündeki değişiklikler şunlardır:
- FileSize türü Tamsayı'dan Uzun'a değiştirildi.
Şemanın 0.2.7 sürümündeki değişiklikler şunlardır:
- , , ,
HttpRequestBodyBytesHttpIsProxied, ,HttpRequestCacheControl,HttpRequestHeaderCount, ,HttpResponseBodyBytesHttpResponseCacheControl,HttpResponseExpiresveHttpResponseHeaderCountalanlarınıHttpCookieekledik.
Sonraki adımlar
Daha fazla bilgi için bkz.: