分享方式:

進階安全性資訊模型 (ASIM) Web 工作階段正規化架構參考 (公開預覽)

  • 文章

Web 會話正規化架構可用來描述IP網路活動。 例如,WEB 伺服器、Web Proxy 和 Web 安全性閘道會報告 IP 網路活動。

如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。

重要

網路正規化架構目前處於預覽狀態。 此功能在沒有服務等級協議的情況下提供,不建議用於生產工作負載。

Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

結構描述概觀

Web 工作話正規化架構代表任何 HTTP 網路工作階段,而且適合提供一般來源類型的支援,包括:

  • 網頁伺服器
  • Web Proxy
  • Web 安全性閘道

ASIM Web 會話架構代表 HTTP 和 HTTPS 通訊協議活動。 由於架構代表通訊協議活動,因此會受到 RFC 的控管,並且會適當時參考本文所參考的正式指派參數清單。

Web 會話架構不會代表來自來源裝置的稽核事件。 例如,修改 Web 安全性網關原則的事件無法由 Web 工作階段架構表示。

由於 HTTP 工作階段是利用 TCP/IP 作為基礎網路層工作階段的應用層工作階段,因此 Web 工作階段架構是 ASIM 網路工作架構超級集合。

Web 工作階段架構中最重要的欄位包括:

Web 工作階段事件也可能包含使用者和處理程式資訊,以及起始要求的進程。

剖析器

如需 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀

統一剖析器

若要使用將所有 ASIM 現成剖析器統一起來的剖析器,並確保分析在所有設定的來源上執行,請使用 _Im_WebSession 篩選剖析器或 _ASim_WebSession 無參數剖析器。

您也可以從 Sentinel GitHub 存放庫Microsoft部署工作區ImWebSessionASimWebSession剖析器。 如需詳細資訊,請參閱 內建的 ASIM 剖析器和工作區部署的剖析器

現用的現用來源特定剖析器

如需 Web 工作階段剖析器清單,Microsoft Sentinel 提供現成的參考 ASIM 剖析器清單

新增您自己的標準化剖析器

實作 Web 工作階段資訊模型的自訂剖析器時,請使用下列語法為您的 KQL 函式命名:

  • vimWebSession<vendor><Product> 適用於參數化剖析器
  • ASimWebSession<vendor><Product> 適用於一般剖析器

篩選剖析器參數

imvim* 剖析器支援篩選參數。 雖然這些剖析器是選擇性的,但它們可以改善查詢效能。

下列篩選參數可供使用:

名稱 類型​​ 描述
starttime Datetime 僅篩選在此時間或之後啟動的 Web 工作階段
endtime Datetime 只篩選目前或之前開始執行的 Web 工作階段
srcipaddr_has_any_prefix dynamic 僅篩選來源 IP 位址字段前置詞位於其中一個所列值的 Web 工作階段。 值清單可以包含IP位址和IP位址前綴。 前置詞應該以 .結尾,例如: 10.0.。 清單的長度限制為10,000個專案。
ipaddr_has_any_prefix dynamic 僅篩選目的地 IP 位址欄位來源 IP 位址欄位前置詞位於其中一個列出的值的網路會話。 前置詞應該以 .結尾,例如: 10.0.。 清單的長度限制為10,000個專案。

欄位 ASimMatchingIpAddr 會設定為其中一個值 SrcIpAddrDstIpAddrBoth ,以反映相符的欄位或欄位。
url_has_any dynamic 僅篩選 URL 欄位具有任何所列值的 Web 工作階段。 如果來源未回報,剖析器可能會忽略傳遞為參數之URL的架構。 如果指定,而且會話不是 Web 工作階段,則不會傳回任何結果。 清單的長度限制為10,000個專案。
httpuseragent_has_any dynamic 僅篩選使用者代理程式欄位具有任何所列值的 Web 工作階段。 如果指定,而且會話不是 Web 工作階段,則不會傳回任何結果。 清單的長度限制為10,000個專案。
eventresultdetails_in dynamic 僅篩選儲存在 EventResultDetails 欄位中之 HTTP 狀態代碼的 Web 工作階段,就是列出的任何值。
eventresult 字串 僅篩選具有特定 EventResult 值的網路會話。

某些參數可以接受類型的 dynamic 值清單或單一字串值。 若要將常值清單傳遞至預期動態值的參數,請明確使用 動態常值。 例如:dynamic(['192.168.','10.'])

例如,若要只篩選指定功能變數名稱清單的 Web 工作階段,請使用:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)

架構詳細數據

Web 工作階段資訊模型會與 OSSEM 網路實體架構OSSEM HTTP 實體架構一致。

為了符合業界最佳做法,Web 會話架構會使用描述元 SrcDst 來識別會話來源和目的地裝置,而不需在功能變數名稱中包含令牌 Dvc

因此,例如,來源裝置主機名和IP位址分別命名為SrcHostname和 SrcIpAddr,而不是 Src Dvc 主機名SrcDvcIpAddr。 前置詞 Dvc 僅適用於報告或中繼裝置,如適用。

描述與來源和目的地裝置相關聯之使用者和應用程式的欄位也會使用 SrcDst 描述元。

其他 ASIM 架構通常會使用 Target 而非 Dst

一般 ASIM 欄位

重要

ASIM 通用欄位一文會詳細說明 所有架構的通用欄位

具有特定指導方針的常見欄位

下列清單提及具有 Web 工作階段事件特定指導方針的欄位:

欄位 類別 類型 描述
EventType 必要 枚舉 描述記錄所報告的作業。 允許的值如下:
- HTTPsession:表示用於 HTTP 或 HTTPS 的網路工作階段,通常是由中繼裝置所報告,例如 Proxy 或 Web 安全性閘道。
- WebServerSession:表示網頁伺服器所報告的 HTTP 要求。 這類事件通常具有較少的網路相關信息。 報告的 URL 不應包含架構和伺服器名稱,但只包含 URL 的路徑和參數部分。
- ApiRequest:表示與 API 呼叫相關聯的 HTTP 要求,通常是由應用程式伺服器所報告。 這類事件通常具有較少的網路相關信息。 由應用程式伺服器報告時,報告的 URL 不應包含架構和伺服器名稱,而只能包含 URL 的路徑和參數部分。
EventResult 必要 枚舉 描述事件結果,標準化為下列其中一個值:
- Success
- Partial
- Failure
- NA (不適用)

針對 HTTP 工作階段, Success 定義為低於 400的狀態代碼,並 Failure 定義為高於 400的狀態代碼。 如需 HTTP 狀態代碼的清單,請參閱 W3 組織

來源只能提供 EventResultDetails 欄位的值,必須加以分析才能取得 EventResult 值。
EventResultDetails 建議需求 String HTTP 狀態碼。

注意:來源記錄中可能會使用不同的詞彙來提供此值,而應該正規化為這些值。 原始值應該儲存在 EventOriginalResultDetails 字段中。
EventSchema 必要 String 這裡記載的架構名稱為 WebSession
EventSchemaVersion 必要 String 結構描述的版本。 這裡記載的架構版本如下 0.2.6
Dvc 欄位 針對 Web 工作階段事件,裝置欄位是指報告 Web 工作階段事件的系統。 這通常是事件的中繼裝置HTTPSession,以及和 ApiRequest 事件的目的地 Web 或應用程式伺服器WebServerSession

所有通用欄位

下表中顯示的欄位適用於所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的進一步詳細數據,請參閱 ASIM 通用欄位 一文。

類別 欄位
必要 - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
建議需求 - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
選擇性 - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

網路會話欄位

HTTP 會話是應用層會話,利用 TCP/IP 作為基礎網路層會話。 Web 工作階段架構是一組 超級 ASIM 網路作業架構 ,而且所有網路架構欄位也會包含在 Web 工作階段架構中。

下列 ASIM 網路工作階段架構欄位在用於 Web 工作階段事件時具有特定指導方針:

  • 別名用戶應該參考 SrcUsername ,而不是 DstUsername
  • 除了儲存在 EventResultDetails 中的 HTTP 狀態代碼之外,字段 EventOriginalResultDetails 還可以保存來源所報告的任何結果。
  • 對於 Web 工作階段,主要目的地欄位是 [URL 欄位]。 DstDomain 是選擇性的,而不是建議的。 具體來說,如果無法使用,就不需要從剖析器中的URL擷取它。
  • 欄位 NetworkRuleNameNetworkRuleNumber 會分別重新 RuleName 命名和 RuleNumber

Web 會話事件通常是由中繼裝置回報,這些裝置會終止來自用戶端的 HTTP 連線,並起始新的連線,做為 Proxy,並搭配伺服器。 若要代表中繼裝置,請使用 ASIM 網路工作架構中繼裝置欄位

HTTP 會話欄位

以下是 Web 工作階段特有的其他欄位:

欄位 類別 類型 描述
Url 必要 String HTTP 要求 URL,包括參數。 針對 HTTPSession 事件,URL 可能包含架構,且應該包含伺服器名稱。 針對 WebServerSessionApiRequest ,URL 通常不會包含架構和伺服器,這可以在和 DstFQDN 欄位中分別找到NetworkApplicationProtocol

範例: https://contoso.com/fo/?k=v&amp;q=u#f
UrlCategory 選擇性 String URL 或 URL 網域部分的已定義群組。 類別通常由 Web 安全性閘道提供,且以 URL 所指向的網站內容為基礎。

範例:搜尋引擎、成人、新聞、廣告和停駐網域。
UrlOriginal 選擇性 String 當報告裝置修改 URL 並同時提供這兩個值時,URL 的原始值。
HttpVersion 選擇性 String HTTP 要求版本。

範例: 2.0
HttpRequestMethod 建議需求 枚舉 HTTP 方法。 這些值如 RFC 7231 和 RFC 5789 中所定義,包括 GETHEADPOSTPUT、、、DELETEOPTIONSCONNECTTRACE和 。PATCH

範例: GET
HttpStatusCode Alias HTTP 狀態代碼。 EventResultDetails 的別名。
HttpContentType 選擇性 String HTTP 回應內容類型標頭。

注意HttpContentType 字段可能包含內容格式和額外參數,例如用來取得實際格式的編碼。

範例: text/html; charset=ISO-8859-4
HttpContentFormat 選擇性 String HttpContentType 的內容格式部分

範例: text/html
HttpReferrer 選擇性 String HTTP 查閱者標頭。

注意:ASIM 與 OSSEM 同步,會針對 查閱者使用正確的拼字,而不是原始 HTTP 標頭拼字。

範例: https://developer.mozilla.org/docs
HttpUserAgent 選擇性 String HTTP 使用者代理程序標頭。

範例:
Mozilla/5.0 (Windows NT 10.0;WOW64)
AppleWebKit/537.36 (KHTML,如蓋科)
Chrome/83.0.4103.97 Safari/537.36
UserAgent Alias HttpUserAgent 的 別名
HttpRequestXff 選擇性 IP 位址 HTTP X-Forwarded-For 標頭。

範例: 120.12.41.1
HttpRequestTime 選擇性 整數 如果適用,傳送要求給伺服器所花費的時間量,以毫秒為單位。

範例: 700
HttpResponseTime 選擇性 整數 如果適用,在伺服器中接收回應所花費的時間量,以毫秒為單位。

範例: 800
HttpHost 選擇性 String HTTP 要求的目標虛擬網頁伺服器。 此值通常是以 HTTP 主機標頭為基礎
FileName 選擇性 String 針對 HTTP 上傳,上傳的檔名。
FileMD5 選擇性 MD5 針對 HTTP 上傳,已上傳檔案的 MD5 哈希。

範例: 75a599802f1fa166cdadb360960b1dd0
FileSHA1 選擇性 SHA1 針對 HTTP 上傳,已上傳檔案的 SHA1 哈希。

範例:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
FileSHA256 選擇性 SHA256 針對 HTTP 上傳,已上傳檔案的 SHA256 哈希。

範例:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
FileSHA512 選擇性 SHA512 針對 HTTP 上傳,已上傳檔案的 SHA512 哈希。
雜湊 Alias 可用哈希欄位的別名。
FileHashType 選擇性 枚舉 哈希欄位中的哈希類型。 可能的值包括: MD5SHA1SHA256、 和 SHA512
FileSize 選擇性 Long 針對 HTTP 上傳,上傳的檔案大小以位元組為單位。
FileContentType 選擇性 String 針對 HTTP 上傳,已上傳檔案的內容類型。

其他欄位

如果事件是由 Web 工作階段的其中一個端點所報告,它可能包含起始或終止工作階段之進程的相關信息。 在這種情況下, ASIM進程事件架構 會將此資訊正規化。

架構更新

Web 工作階段架構依賴網路工作架構。 因此, 網路會話架構更新 也適用於 Web 作業階段架構。

以下是架構 0.2.5 版的變更:

  • 新增欄位 HttpHost

以下是架構 0.2.6 版的變更:

  • FileSize 的類型已從 Integer 變更為 Long。

下一步

如需詳細資訊,請參閱