Az Advanced Security Information Model (ASIM) webes munkamenet normalizálási sémájának referenciája (nyilvános előzetes verzió)
A webes munkamenet normalizálási sémája egy IP-hálózati tevékenység leírására szolgál. Az IP-hálózati tevékenységeket például webkiszolgálók, webproxyk és webes biztonsági átjárók jelentik.
A Microsoft Sentinel normalizálásáról további információt a Normalizálás és az Advanced Security Information Model (ASIM) című cikkben talál.
Fontos
A hálózat normalizálási sémája jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott.
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Séma áttekintése
A webes munkamenet normalizálási sémája bármilyen HTTP-hálózati munkamenetet jelöl, és alkalmas arra, hogy támogatást nyújtson a gyakori forrástípusokhoz, például:
- Webkiszolgálók
- Webes proxyk
- Webes biztonsági átjárók
Az ASIM webes munkamenet sémája a HTTP- és HTTPS-protokolltevékenységet jelöli. Mivel a séma protokolltevékenységet jelöl, az RFC-k és a hivatalosan hozzárendelt paraméterlisták szabályozzák, amelyekre szükség esetén ebben a cikkben hivatkozunk.
A webes munkamenet sémája nem a forráseszközök naplózási eseményeit jelöli. A Web Security Gateway-házirendet módosító eseményeket például nem tudja képviselni a webes munkamenet sémája.
Mivel a HTTP-munkamenetek olyan alkalmazásréteg-munkamenetek, amelyek a TCP/IP protokollt használják a mögöttes hálózati réteg munkameneteként, a webes munkamenet séma az ASIM hálózati munkamenetséma szuperkészlete.
A webes munkamenet sémájának legfontosabb mezői a következők:
- Url, amely az ügyfél által a kiszolgálótól kért URL-címet jelenti.
- A SrcIpAddr (ipAddr-hez aliasolt) érték, amely azt az IP-címet jelöli, amelyből a kérés létrejött.
- EventResultDetails mező, amely általában a HTTP állapotkódját jelenti.
A webes munkamenet eseményei közé tartozhatnak a felhasználó felhasználói és feldolgozási adatai, valamint a kérés kezdeményezésének folyamata is.
Elemzők
Az ASIM-elemzőkkel kapcsolatos további információkért tekintse meg az ASIM-elemzők áttekintését.
Elemzők egyesítése
Ha olyan elemzőket szeretne használni, amelyek egyesítik az összes beépített ASIM-elemzőt, és biztosítják, hogy az elemzés az összes konfigurált forrásban futjon, használja a _Im_WebSession szűrőelemzőt vagy a _ASim_WebSession paraméter nélküli elemzőt.
A munkaterületen üzembe helyezett ImWebSession és ASimWebSession elemzőket is használhatja a Microsoft Sentinel GitHub-adattárból való üzembe helyezéssel. További információkért lásd a beépített ASIM-elemzőket és a munkaterületen üzembe helyezett elemzőket.
Házon kívül, forrásspecifikus elemzők
A Webes munkamenet elemzőinek listájához a Microsoft Sentinel a beépített ASIM-elemzők listájára hivatkozik
Saját normalizált elemzők hozzáadása
A webmunkamenet-információs modell egyéni elemzőinek implementálásakor nevezze el a KQL-függvényeket az alábbi szintaxissal:
-
vimWebSession<vendor><Product>parametrizált elemzők esetén -
ASimWebSession<vendor><Product>normál elemzőkhöz
Szűrőelemző paraméterek
Az im elemzők vim* támogatják a szűrési paramétereket. Bár ezek az elemzők nem kötelezőek, javíthatják a lekérdezés teljesítményét.
A következő szűrési paraméterek érhetők el:
| Név | Típus | Leírás |
|---|---|---|
| indítási idő | dátum/idő | Szűrjön csak azokat a webes munkameneteket, amelyek ekkor vagy azt követően kezdődtek . |
| endtime | dátum/idő | Szűrjön csak azokat a webes munkameneteket, amelyek ekkor vagy azt megelőzően kezdtek futni. |
| srcipaddr_has_any_prefix | dinamikus | Csak olyan webes munkamenetek szűrése, amelyeknél a forrás IP-címmező előtagja a felsorolt értékek egyikében található. Az értékek listája tartalmazhat IP-címeket és IP-címelőtagokat. Az előtagoknak például a .következővel kell végződnie: 10.0.. A lista hossza legfeljebb 10 000 elem lehet. |
| ipaddr_has_any_prefix | dinamikus | Csak olyan hálózati munkamenetek szűrése, amelyek cél IP-címmezője vagy forrás IP-címmező-előtagja a felsorolt értékek egyikében található. Az előtagoknak például a .következővel kell végződnie: 10.0.. A lista hossza legfeljebb 10 000 elem lehet.Az ASimMatchingIpAddr mező az értékek SrcIpAddregyikével van beállítva, DstIpAddrvagy Both az egyező mezőket vagy mezőket tükrözi. |
| url_has_any | dinamikus | Csak olyan webes munkamenetek szűrése, amelyeknél az URL-mező a felsorolt értékek bármelyikével rendelkezik. Az elemző figyelmen kívül hagyhatja a paraméterként átadott URL-cím sémáját, ha a forrás nem jelenti. Ha meg van adva, és a munkamenet nem webes munkamenet, a rendszer nem ad vissza eredményt. A lista hossza legfeljebb 10 000 elem lehet. |
| httpuseragent_has_any | dinamikus | Csak olyan webes munkamenetek szűrése, amelyeknél a felhasználói ügynök mező a felsorolt értékek bármelyikével rendelkezik. Ha meg van adva, és a munkamenet nem webes munkamenet, a rendszer nem ad vissza eredményt. A lista hossza legfeljebb 10 000 elem lehet. |
| eventresultdetails_in | dinamikus | Csak olyan webes munkamenetek szűrése, amelyeknél az EventResultDetails mezőben tárolt HTTP-állapotkód a felsorolt értékek bármelyike. |
| eventresult | húr | Csak a megadott EventResult értékkel rendelkező hálózati munkamenetek szűrése. |
Egyes paraméterek a típusértékek dynamic listáját vagy egy sztringértéket is elfogadnak. Ha egy konstanslistát dinamikus értéket váró paramétereknek szeretne átadni, használjon explicit módon egy dinamikus literált. Például: dynamic(['192.168.','10.'])
Ha például csak a webes munkameneteket szeretné szűrni a megadott tartománynevek listájára, használja a következőt:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Séma részletei
A webes munkamenet információs modellje az OSSEM hálózati entitásséma és az OSSEM HTTP-entitásséma szerint van összhangban.
Az iparági ajánlott eljárásoknak való megfelelés érdekében a webes munkamenet sémája az Src és dst leírókkal azonosítja a munkamenet forrás- és céleszközeit, anélkül, hogy a dvc jogkivonatot beleadná a mezőnévbe.
Így például a forráseszköz gazdagépneve és IP-címe neve SrcHostname és SrcIpAddr , nem pedig SrcDvcHostname és SrcDvcIpAddr. A Dvc előtag csak a jelentéskészítéshez vagy a közvetítő eszközhöz használható, adott esetben.
A forrás- és céleszközökhöz társított felhasználót és alkalmazást leíró mezők az Src és a Dst leírókat is használják.
Más ASIM-sémák általában a Célot használják a Dst helyett.
Gyakori ASIM-mezők
Fontos
Az összes sémában közös mezők részletes leírását az ASIM Common Fields című cikk ismerteti.
Általános mezők konkrét irányelvekkel
Az alábbi lista azokat a mezőket sorolja fel, amelyek konkrét irányelvekkel rendelkeznek a webes munkamenet eseményeihez:
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| EventType | Kötelező | Enumerated | A rekord által jelentett műveletet ismerteti. Az engedélyezett értékek a következők: - HTTPsession: A HTTP-hez vagy HTTPS-hez használt hálózati munkamenetet jelöli, amelyet általában egy közvetítő eszköz, például egy proxy vagy egy webes biztonsági átjáró jelent.- WebServerSession: Egy webkiszolgáló által jelentett HTTP-kérést jelöl. Egy ilyen esemény általában kevesebb hálózattal kapcsolatos információval rendelkezik. A jelentett URL-cím nem tartalmazhat sémát és kiszolgálónevet, csak az URL elérési útját és paramétereit. - ApiRequest: Egy API-híváshoz társított HTTP-kérést jelöl, amelyet általában egy alkalmazáskiszolgáló jelent. Egy ilyen esemény általában kevesebb hálózattal kapcsolatos információval rendelkezik. Az alkalmazáskiszolgáló által jelentett URL-cím nem tartalmazhat sémát és kiszolgálónevet, hanem csak az URL-cím elérési útját és paramétereit. |
| EventResult | Kötelező | Enumerated | Az alábbi értékek egyikére normalizált eseményeredményt írja le: - Success - Partial - Failure - NA (nem alkalmazható) HTTP-munkamenet Success esetén a rendszer a megadottnál 400alacsonyabb állapotkódként van definiálva, és Failure az állapotkód magasabb, mint 400. A HTTP-állapotkódok listájáért tekintse meg a W3 Szervezetet.A forrás csak az EventResultDetails mező értékét adja meg, amelyet elemezni kell az EventResult érték lekéréséhez. |
| EventResultDetails | Ajánlott | Sztring | A HTTP-állapotkód. Megjegyzés: Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti értéket az EventOriginalResultDetails mezőben kell tárolni. |
| EventSchema | Kötelező | Sztring | Az itt dokumentált séma neve.WebSession |
| EventSchemaVersion | Kötelező | Sztring | A séma verziója. Az itt dokumentált séma verziója: 0.2.6 |
| Dvc-mezők | A webes munkamenet eseményeinél az eszközmezők a webes munkamenet eseményét jelentő rendszerre vonatkoznak. Ez általában egy közvetítő eszköz eseményekhezHTTPSession, valamint a célwebhelyhez vagy alkalmazáskiszolgálóhoz az eseményekhez és ApiRequest eseményekhezWebServerSession. |
Minden gyakori mező
Az alábbi táblázatban megjelenő mezők az összes ASIM-sémában gyakoriak. A fent megadott útmutatás felülbírálja a mező általános irányelveit. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további részletekért tekintse meg az ASIM Common Fields cikket.
| Osztály | Mezők |
|---|---|
| Kötelező |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Ajánlott |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Választható |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - További mezők - DvcDescription - DvcScopeId - DvcScope |
Hálózati munkamenet mezői
A HTTP-munkamenetek olyan alkalmazásréteg-munkamenetek, amelyek a TCP/IP protokollt használják a mögöttes hálózati réteg munkameneteként. A webes munkamenet sémája az ASIM hálózati munkamenet sémájának szuperkészlete, és az összes hálózati sémamező is szerepel a webes munkamenet sémájában.
A következő ASIM-hálózati munkamenet sémamezői speciális irányelvekkel rendelkeznek egy webes munkamenet eseményéhez:
- Az aliasfelhasználónak a SrcUsername névre kell hivatkoznia, nem pedig a DstUsername névre.
- Az EventOriginalResultDetails mező az EventResultDetailsbentárolt HTTP-állapotkódon kívül bármilyen, a forrás által jelentett eredményt tárolhat.
- Webes munkamenetek esetén az elsődleges célmező az URL-mező. A DstDomain nem ajánlott, hanem választható. Pontosabban, ha nem érhető el, nincs szükség arra, hogy kinyerje azt az elemző URL-címéből.
- A mezőket
NetworkRuleNameNetworkRuleNumberátnevezik, illetveRuleNumberátnevezikRuleName.
A webes munkamenet eseményeit általában olyan köztes eszközök jelentik, amelyek megszakítják a HTTP-kapcsolatot az ügyfélről, és új, proxyként működő kapcsolatot kezdeményeznek a kiszolgálóval. A köztes eszköz ábrázolásához használja az ASIM hálózati munkamenetsémaKözvetítő eszköz mezőit
HTTP-munkamenet mezői
Az alábbiakban további, a webes munkamenetekre jellemző mezőket böngészünk:
| Mező | Osztály | Típus | Leírás |
|---|---|---|---|
| URL-cím | Kötelező | Sztring | A HTTP-kérelem URL-címe, beleértve a paramétereket is. Események esetén HTTPSession az URL-cím tartalmazhatja a sémát, és tartalmaznia kell a kiszolgáló nevét. Az WebServerSession URL-cím általában ApiRequest nem tartalmazza a sémát és a kiszolgálót, amely a mezőkben és DstFQDN a NetworkApplicationProtocol mezőkben található. Példa: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | Választható | Sztring | Az URL-cím vagy az URL tartományrészének definiált csoportosítása. A kategóriát általában a webes biztonsági átjárók biztosítják, és annak a webhelynek a tartalmán alapul, amelyre az URL-cím mutat. Például: keresőmotorok, felnőtt, hírek, hirdetések és parkolt tartományok. |
| UrlOriginal | Választható | Sztring | Az URL eredeti értéke, amikor a jelentéskészítő eszköz módosította az URL-címet, és mindkét érték meg van adva. |
| HttpVersion | Választható | Sztring | A HTTP-kérelem verziója. Példa: 2.0 |
| HttpRequestMethod | Ajánlott | Enumerated | A HTTP-metódus. Az értékek az RFC 7231-ben és az RFC 5789-ben vannak definiálva, és tartalmazzák GETa , HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACEés PATCH.Példa: GET |
| HttpStatusCode | Alias | A HTTP-állapotkód. Alias az EventResultDetailshez. | |
| HttpContentType | Választható | Sztring | A HTTP-válasz tartalomtípus fejléce. Megjegyzés: A HttpContentType mező tartalmazhat tartalomformátumot és további paramétereket is, például a tényleges formátum lekéréséhez használt kódolást. Példa: text/html; charset=ISO-8859-4 |
| HttpContentFormat | Választható | Sztring | A HttpContentType tartalomformátum-része Példa: text/html |
| HttpReferrer | Választható | Sztring | A HTTP-hivatkozó fejléce. Megjegyzés: Az ASIM az OSSEM-mel szinkronban a megfelelő helyesírást használja a hivatkozóhoz, és nem az eredeti HTTP-fejléc helyesírását. Példa: https://developer.mozilla.org/docs |
| HttpUserAgent | Választható | Sztring | A HTTP felhasználói ügynök fejléce. Példa: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, például Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| UserAgent | Alias | Alias – HttpUserAgent | |
| HttpRequestXff | Választható | IP Address | A HTTP X-Forwarded-For fejléc. Példa: 120.12.41.1 |
| HttpRequestTime | Választható | Egész | Ezredmásodpercben ennyi ideig tartott a kérés elküldése a kiszolgálónak, ha van ilyen. Példa: 700 |
| HttpResponseTime | Választható | Egész | Ezredmásodpercben ennyi ideig tartott a válasz fogadása a kiszolgálón, ha van ilyen. Példa: 800 |
| HttpHost | Választható | Sztring | Az a virtuális webkiszolgáló, amelyet a HTTP-kérés megcélzott. Ez az érték általában a HTTP-gazdagép fejlécén alapul. |
| Fájlnév | Választható | Sztring | HTTP-feltöltések esetén a feltöltött fájl neve. |
| FileMD5 | Választható | MD5 | HTTP-feltöltések esetén a feltöltött fájl MD5 kivonata. Példa: 75a599802f1fa166cdadb360960b1dd0 |
| FileSHA1 | Választható | SHA1 | HTTP-feltöltések esetén a feltöltött fájl SHA1 kivonata. Példa: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| FileSHA256 | Választható | SHA256 | HTTP-feltöltések esetén a feltöltött fájl SHA256 kivonata. Példa: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| FileSHA512 | Választható | SHA512 | HTTP-feltöltések esetén a feltöltött fájl SHA512 kivonata. |
| Hash | Alias | Alias a rendelkezésre álló Kivonat mezőhöz. | |
| FileHashType | Választható | Enumerated | A kivonat típusa a Kivonat mezőben. A lehetséges értékek a következők: MD5, SHA1, SHA256és SHA512. |
| Fájlméret | Választható | Hosszú | HTTP-feltöltések esetén a feltöltött fájl mérete bájtban kifejezve. |
| FileContentType | Választható | Sztring | HTTP-feltöltések esetén a feltöltött fájl tartalomtípusa. |
Egyéb mezők
Ha az eseményt a webes munkamenet egyik végpontja jelenti, az információkat is tartalmazhat a munkamenetet kezdeményező vagy megszakító folyamatról. Ilyen esetekben az ASIM folyamatesemény sémája normalizálja ezeket az információkat.
Sémafrissítések
A webes munkamenet sémája a hálózati munkamenet sémájára támaszkodik. Ezért a hálózati munkamenet sémafrissítései a webes munkamenet sémára is érvényesek.
A séma 0.2.5-ös verziójának változásai a következők:
- Hozzáadta a mezőt
HttpHost.
A séma 0.2.6-os verziójának változásai a következők:
- A FileSize típusa egész számról hosszúra módosult.
Következő lépések
További információk: