Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Web Oturumu normalleştirme şema başvurusu (Genel önizleme)
Web Oturumu normalleştirme şeması, bir IP ağ etkinliğini açıklamak için kullanılır. Örneğin, IP ağ etkinlikleri web sunucuları, web proxy'leri ve web güvenliği ağ geçitleri tarafından bildirilir.
Microsoft Sentinel'de normalleştirme hakkında daha fazla bilgi için bkz . Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM).
Önemli
Ağ normalleştirme şeması şu anda ÖNİzLEME aşamasındadır. Bu özellik bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez.
Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Şemaya genel bakış
Web Oturumu normalleştirme şeması herhangi bir HTTP ağ oturumunu temsil eder ve aşağıdakiler gibi yaygın kaynak türleri için destek sağlamaya uygundur:
- Web sunucuları
- Web proxy'leri
- Web güvenliği ağ geçitleri
ASIM Web Oturumu şeması HTTP ve HTTPS protokol etkinliğini temsil eder. Şema protokol etkinliğini temsil ettiğinden, uygun olduğunda bu makalede başvurulan RFC'ler ve resmi olarak atanan parametre listeleri tarafından yönetilir.
Web Oturumu şeması, kaynak cihazlardan gelen denetim olaylarını temsil etmez. Örneğin, Bir Web Güvenliği Ağ Geçidi ilkesini değiştiren bir olay Web Oturumu şeması tarafından temsil edilemez.
HTTP oturumları, temel ağ katmanı oturumu olarak TCP/IP kullanan uygulama katmanı oturumları olduğundan, Web Oturumu şeması ASIM Ağ Oturumu şemasının bir süper kümesidir.
Web Oturumu şemasındaki en önemli alanlar şunlardır:
- url, istemcinin sunucudan istediği URL'yi bildirir.
- İsteğin oluşturulduğu IP adresini temsil eden SrcIpAddr (IpAddr ile diğer adı kullanılır).
- Genellikle HTTP Durum Kodunu bildiren EventResultDetails alanı.
Web Oturumu olayları, kullanıcının Kullanıcı ve İşlem bilgilerini ve isteği başlatma işlemini de içerebilir.
Çözümleyicileri
ASIM ayrıştırıcıları hakkında daha fazla bilgi için bkz . ASIM ayrıştırıcılarına genel bakış.
Ayrıştırıcıları birleştirme
Tüm ASIM kullanıma alınmış ayrıştırıcıları birleştiren ayrıştırıcıları kullanmak ve çözümlemenizin yapılandırılan tüm kaynaklarda çalıştığından emin olmak için filtreleme ayrıştırıcısını _Im_WebSession
veya parametresiz ayrıştırıcıyı _ASim_WebSession
kullanın.
Çalışma alanı tarafından dağıtılan ImWebSession
ve ASimWebSession
ayrıştırıcıları Microsoft Sentinel GitHub deposundan dağıtarak da kullanabilirsiniz. Daha fazla bilgi için bkz . yerleşik ASIM ayrıştırıcıları ve çalışma alanı tarafından dağıtılan ayrıştırıcılar.
Kullanıma açık, kaynağa özgü ayrıştırıcılar
Web Oturumu ayrıştırıcılarının listesi için Microsoft Sentinel kullanıma hazır sağlar ASIM ayrıştırıcıları listesine bakın
Kendi normalleştirilmiş ayrıştırıcılarınızı ekleme
Web Oturumu bilgi modeli için özel ayrıştırıcılar uygularken aşağıdaki söz dizimini kullanarak KQL işlevlerinizi adlandırın:
-
vimWebSession<vendor><Product>
parametrized ayrıştırıcılar için -
ASimWebSession<vendor><Product>
normal ayrıştırıcılar için
Ayrıştırıcı parametrelerini filtreleme
im
ve ayrıştırıcıları filtreleme parametrelerini destekler.vim*
Bu ayrıştırıcılar isteğe bağlı olsa da sorgu performansınızı artırabilir.
Aşağıdaki filtreleme parametreleri kullanılabilir:
Adı | Tür | Açıklama |
---|---|---|
starttime | datetime | Yalnızca şu anda veya sonrasında başlayan Web oturumlarını filtreleyin. |
bitiş saati | datetime | Yalnızca şu anda veya öncesinde çalışmaya başlayan Web oturumlarını filtreleyin. |
srcipaddr_has_any_prefix | dynamic | Yalnızca kaynak IP adresi alan ön ekinin listelenen değerlerden birinde yer aldığı Web oturumlarını filtreleyin. Değer listesi IP adreslerini ve IP adresi ön eklerini içerebilir. Ön ekler ile . bitmelidir, örneğin: 10.0. . Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
ipaddr_has_any_prefix | dynamic | Yalnızca hedef IP adresi alanının veya kaynak IP adresi alanı ön ekinin listelenen değerlerden birinde bulunduğu ağ oturumlarını filtreleyin. Ön ekler ile . bitmelidir, örneğin: 10.0. . Listenin uzunluğu 10.000 öğeyle sınırlıdır.ASimMatchingIpAddr alanı, , DstIpAddr değerlerinden SrcIpAddr biriyle veya Both eşleşen alanları veya alanları yansıtacak şekilde ayarlanır. |
url_has_any | dynamic | Yalnızca URL alanında listelenen değerlerden herhangi birinin bulunduğu Web oturumlarını filtreleyin. Kaynak bunu bildirmezse, ayrıştırıcı parametre olarak geçirilen URL'nin şemasını yoksayabilir. Belirtilirse ve oturum bir web oturumu değilse sonuç döndürülmeyecektir. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
httpuseragent_has_any | dynamic | Yalnızca kullanıcı aracısı alanında listelenen değerlerden herhangi birinin bulunduğu web oturumlarını filtreleyin. Belirtilirse ve oturum bir web oturumu değilse sonuç döndürülmeyecektir. Listenin uzunluğu 10.000 öğeyle sınırlıdır. |
eventresultdetails_in | dynamic | Yalnızca EventResultDetails alanında depolanan HTTP durum kodunun listelenen değerlerden biri olduğu web oturumlarını filtreleyin. |
eventresult | Dize | Yalnızca belirli bir EventResult değerine sahip ağ oturumlarını filtreleyin. |
Bazı parametreler hem tür dynamic
değerleri listesini hem de tek bir dize değerini kabul edebilir. Sabit bir listeyi dinamik değer bekleyen parametrelere geçirmek için, dinamik değişmez değeri açıkça kullanın. Örneğin: dynamic(['192.168.','10.'])
Örneğin, yalnızca belirtilen etki alanı adları listesi için Web oturumlarını filtrelemek için şunu kullanın:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Şema ayrıntıları
Web Oturumu bilgi modeli, OSSEM Ağ varlık şeması ve OSSEM HTTP varlık şeması ile hizalanır.
Web Oturumu şeması, sektörün en iyi yöntemleriyle uyumlu olmak için Src ve Dst tanımlayıcılarını kullanarak alan adına Dvc belirtecini eklemeden oturum kaynağı ve hedef cihazlarını tanımlar.
Bu nedenle, örneğin, kaynak cihaz ana bilgisayar adı ve IP adresi sırasıyla SrcHostname ve SrcIpAddr olarak adlandırılır, Src Dvc Ana Bilgisayar Adı ve SrcDvcIpAddr olarak adlandırılmaz. Dvc ön eki yalnızca raporlama veya aracı cihaz için kullanılabilir.
Kaynak ve hedef cihazlarla ilişkili kullanıcı ve uygulamayı açıklayan alanlar da Src ve Dst tanımlayıcılarını kullanır.
Diğer ASIM şemaları genellikle Dst yerine Target kullanır.
Ortak ASIM alanları
Önemli
Tüm şemalarda ortak olan alanlar ASIM Ortak Alanları makalesinde ayrıntılı olarak açıklanmıştır.
Belirli yönergelere sahip ortak alanlar
Aşağıdaki listede, Web Oturumu olayları için belirli yönergelere sahip alanlardan bahsediliyor:
Alan | Sınıf | Type | Açıklama |
---|---|---|---|
EventType | Zorunlu | Enumerated | Kayıt tarafından bildirilen işlemi açıklar. İzin verilen değerler şunlardır: - HTTPsession : GENELLIKLE ara sunucu veya Web güvenlik ağ geçidi gibi bir aracı cihaz tarafından bildirilen HTTP veya HTTPS için kullanılan ağ oturumlarını belirtir.- WebServerSession : Web sunucusu tarafından bildirilen bir HTTP isteğini belirtir. Böyle bir olay genellikle ağ ile ilgili daha az bilgiye sahiptir. Bildirilen URL'nin bir şema ve sunucu adı içermemesi, url'nin yalnızca yolu ve parametreleri içermesi gerekir. - ApiRequest : Api çağrısıyla ilişkili olarak bildirilen ve genellikle uygulama sunucusu tarafından bildirilen HTTP isteğini belirtir. Böyle bir olay genellikle ağ ile ilgili daha az bilgiye sahiptir. Uygulama sunucusu tarafından bildirildiğinde, bildirilen URL'nin bir şema ve sunucu adı içermemesi, url'nin yalnızca yolu ve parametreleri içermesi gerekir. |
EventResult | Zorunlu | Enumerated | Aşağıdaki değerlerden birine normalleştirilmiş olay sonucunu açıklar: - Success - Partial - Failure - NA (uygulanamaz) HTTP oturumu için, Success değerinden 400 küçük bir durum kodu olarak tanımlanır ve Failure değerinden 400 yüksek bir durum kodu olarak tanımlanır. HTTP durum kodlarının listesi için bkz. W3 Org.Kaynak, EventResultDetails alanı için yalnızca eventResult değerini almak için analiz edilmesi gereken bir değer sağlayabilir. |
EventResultDetails | Önerilir | String | HTTP durum kodu. Not: Değer, kaynak kayıtta farklı terimler kullanılarak sağlanabilir ve bu değer bu değerlere normalleştirilmelidir. Özgün değer EventOriginalResultDetails alanında depolanmalıdır. |
EventSchema | Zorunlu | String | Burada belgelenen şemanın adıdır WebSession . |
EventSchemaVersion | Zorunlu | String | Şema sürümü. Şemanın burada belgelenen sürümü 0.2.6 |
Dvc alanları | Web Oturumu olayları için cihaz alanları Web Oturumu olayını bildiren sisteme başvurur. Bu genellikle olaylar için HTTPSession aracı bir cihazdır ve ve ApiRequest olayları için WebServerSession hedef web veya uygulama sunucusudur. |
Tüm ortak alanlar
Aşağıdaki tabloda görünen alanlar tüm ASIM şemalarında ortaktır. Yukarıda belirtilen tüm yönergeler, alanın genel yönergelerini geçersiz kılar. Örneğin, bir alan genel olarak isteğe bağlı olabilir, ancak belirli bir şema için zorunlu olabilir. Her alan hakkında daha fazla ayrıntı için ASIM Ortak Alanları makalesine bakın.
Sınıf | Alanlar |
---|---|
Zorunlu |
-
EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
Önerilir |
-
EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
İsteğe bağlı |
-
EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - EkAlanlar - DvcDescription - DvcScopeId - DvcScope |
Ağ oturumu alanları
HTTP oturumları, temel ağ katmanı oturumu olarak TCP/IP kullanan uygulama katmanı oturumlarıdır. Web Oturumu şeması, ASIM Ağ Oturumu şemasının süper kümesidir ve tüm Ağ Şeması Alanları da Web Oturumu şemasına eklenir.
Aşağıdaki ASIM Ağ Oturumu şema alanları, bir Web Oturumu olayı için kullanıldığında belirli yönergelere sahiptir:
- Kullanıcı diğer adı, DstUsername'e değil SrcUsername'e başvurmalıdır.
- EventOriginalResultDetails alanı, EventResultDetails içinde depolanan HTTP durum koduna ek olarak kaynak tarafından bildirilen herhangi bir sonucu tutabilir.
- Web Oturumları için birincil hedef alanı Url Alanı'dır. DstDomain önerilir yerine isteğe bağlıdır. Özellikle, kullanılamıyorsa ayrıştırıcıdaki URL'den ayıklamanız gerekmez.
- ve alanları
NetworkRuleName
sırasıyla yeniden adlandırılırRuleName
RuleNumber
.NetworkRuleNumber
Web Oturumu olayları genellikle istemciden HTTP bağlantısını sonlandıran ve sunucuyla ara sunucu görevi üstlenerek yeni bir bağlantı başlatan ara cihazlar tarafından bildirilir. Ara cihazı temsil etmek için ASIM Ağ Oturumu şemasıAracı cihaz alanlarını kullanın
HTTP oturum alanları
Web oturumlarına özgü ek alanlar şunlardır:
Alan | Sınıf | Type | Açıklama |
---|---|---|---|
URL | Zorunlu | String | Parametreler de dahil olmak üzere HTTP isteği URL'si. Olaylar için HTTPSession URL şemayı içerebilir ve sunucu adını içermelidir. için WebServerSession ve ApiRequest URL'si genellikle şemayı ve sunucuyu içermez ve bu şema sırasıyla ve DstFQDN alanlarında bulunabilirNetworkApplicationProtocol . Örnek: https://contoso.com/fo/?k=v&q=u#f |
UrlCategory | İsteğe bağlı | String | URL'nin tanımlanmış gruplandırma veya URL'nin etki alanı bölümü. Kategori genellikle web güvenlik ağ geçitleri tarafından sağlanır ve URL'nin işaret ettiği sitenin içeriğine dayanır. Örnek: arama motorları, yetişkin, haber, reklam ve park edilmiş etki alanları. |
UrlOriginal | İsteğe bağlı | String | URL raporlama cihazı tarafından değiştirildiğinde ve her iki değer sağlandığında URL'nin özgün değeri. |
HttpVersion | İsteğe bağlı | String | HTTP İstek Sürümü. Örnek: 2.0 |
HttpRequestMethod | Önerilir | Enumerated | HTTP Yöntemi. Değerler RFC 7231 ve RFC 5789'da tanımlandığı şekildedir ve , HEAD , , POST , PUT , DELETE , , CONNECT , OPTIONS , TRACE ve PATCH değerlerini içerirGET .Örnek: GET |
HttpStatusCode | Diğer ad | HTTP Durum Kodu. EventResultDetails diğer adı. | |
HttpContentType | İsteğe bağlı | String | HTTP Yanıtı içerik türü üst bilgisi. Not: HttpContentType alanı hem içerik biçimini hem de gerçek biçimi almak için kullanılan kodlama gibi ek parametreleri içerebilir. Örnek: text/html; charset=ISO-8859-4 |
HttpContentFormat | İsteğe bağlı | String | HttpContentType'ın içerik biçimi bölümü Örnek: text/html |
HttpReferrer | İsteğe bağlı | String | HTTP başvuran üst bilgisi. Not: ASIM, OSSEM ile eşitlenmiş durumda, özgün HTTP üst bilgisi yazımını değil, başvuran için doğru yazımı kullanır. Örnek: https://developer.mozilla.org/docs |
HttpUserAgent | İsteğe bağlı | String | HTTP kullanıcı aracısı üst bilgisi. Örnek: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, Gecko gibi)Chrome/83.0.4103.97 Safari/537.36 |
UserAgent | Diğer ad | HttpUserAgent diğer adı | |
HttpRequestXff | İsteğe bağlı | IP Adresi | HTTP X-Forwarded-For üst bilgisi. Örnek: 120.12.41.1 |
HttpRequestTime | İsteğe bağlı | Tamsayı | İsteğin sunucuya (varsa) gönderilmesi milisaniye cinsinden geçen süre. Örnek: 700 |
HttpResponseTime | İsteğe bağlı | Tamsayı | Varsa sunucuda bir yanıt almak için geçen milisaniye cinsinden süre. Örnek: 800 |
HttpHost | İsteğe bağlı | String | HTTP isteğinin hedeflediği sanal web sunucusu. Bu değer genellikle HTTP Ana Bilgisayarı üst bilgisini temel alır. |
Dosyaadı | İsteğe bağlı | String | HTTP yüklemeleri için karşıya yüklenen dosyanın adı. |
FileMD5 | İsteğe bağlı | MD5 | HTTP yüklemeleri için, karşıya yüklenen dosyanın MD5 karması. Örnek: 75a599802f1fa166cdadb360960b1dd0 |
FileSHA1 | İsteğe bağlı | SHA1 | HTTP yüklemeleri için, karşıya yüklenen dosyanın SHA1 karması. Örnek: d55c5a4df19b46db8c54 c801c4665d3338acdab0 |
FileSHA256 | İsteğe bağlı | SHA256 | HTTP yüklemeleri için, karşıya yüklenen dosyanın SHA256 karması. Örnek: e81bb824c4a09a811af17deae22f22dd 2e1ec8cbb00b22629d2899f7c68da274 |
FileSHA512 | İsteğe bağlı | SHA512 | HTTP yüklemeleri için, karşıya yüklenen dosyanın SHA512 karması. |
Karma | Diğer ad | Kullanılabilir Karma alanının diğer adı. | |
FileHashType | İsteğe bağlı | Enumerated | Karma alanındaki karma türü. Olası değerler şunlardır: MD5 , SHA1 , SHA256 ve SHA512 . |
Dosya Boyutu | İsteğe bağlı | Uzun | HTTP yüklemeleri için, karşıya yüklenen dosyanın bayt cinsinden boyutu. |
FileContentType | İsteğe bağlı | String | HTTP yüklemeleri için, karşıya yüklenen dosyanın içerik türü. |
Diğer alanlar
Olay web oturumunun uç noktalarından biri tarafından bildirilirse, oturumu başlatan veya sonlandıran işlem hakkında bilgi içerebilir. Bu gibi durumlarda, bu bilgileri normalleştirmek için ASIM İşlem Olayı şeması .
Şema güncelleştirmeleri
Web Oturumu şeması, Ağ Oturumu şemasına dayanır. Bu nedenle, Ağ Oturumu şema güncelleştirmeleri Web Oturumu şemasına da uygulanır.
Şemanın 0.2.5 sürümündeki değişiklikler şunlardır:
- alanını
HttpHost
ekledik.
Şemanın 0.2.6 sürümündeki değişiklikler şunlardır:
- FileSize türü Tamsayı'dan Uzun'a değiştirildi.
Sonraki adımlar
Daha fazla bilgi için bkz.
- ASIM Web seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği