Referenční informace o normalizačním schématu webové relace Advanced Security Information Model (ASIM) (Public Preview)
Schéma normalizace webové relace slouží k popisu síťové aktivity protokolu IP. Například aktivity sítě IP jsou hlášeny webovými servery, webovými proxy servery a bránami zabezpečení webu.
Další informace o normalizaci v Microsoft Sentinelu naleznete v tématu Normalizace a Advanced Security Information Model (ASIM).
Důležité
Schéma normalizace sítě je aktuálně ve verzi PREVIEW. Tato funkce je poskytována bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy.
Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Přehled schématu
Schéma normalizace webové relace představuje jakoukoli relaci sítě HTTP a je vhodná k poskytování podpory pro běžné typy zdrojů, včetně:
- Webové servery
- Webové proxy servery
- Brány zabezpečení webu
Schéma webové relace ASIM představuje aktivitu protokolu HTTP a HTTPS. Vzhledem k tomu, že schéma představuje aktivitu protokolu, řídí se seznamy rfc a oficiálně přiřazených parametrů, na které se odkazuje v tomto článku, pokud je to vhodné.
Schéma webové relace nepředstavuje události auditu ze zdrojových zařízení. Například událost, která upravuje zásadu služby Web Security Gateway, nemůže být reprezentována schématem webové relace.
Vzhledem k tomu, že relace HTTP jsou relace aplikační vrstvy, které jako základní relaci síťové vrstvy využívají protokol TCP/IP, schéma webové relace je super sada schématu síťové relace ASIM.
Nejdůležitější pole ve schématu webové relace jsou:
- Adresa URL, která hlásí adresu URL, kterou klient požadoval ze serveru.
- SrcIpAddr (aliased to IpAddr), který představuje IP adresu, ze které se požadavek vygeneroval.
- Pole EventResultDetails , které obvykle hlásí stavový kód HTTP.
Události webové relace mohou také obsahovat informace o uživateli a procesu, který žádost iniciuje.
Analyzátory
Další informace o analyzátorech ASIM najdete v přehledu analyzátorů ASIM.
Sjednocení analyzátorů
Pokud chcete použít analyzátory, které sjednocují všechny předdefinované analyzátory ASIM a zajišťují, aby se analýza spouštěla ve všech nakonfigurovaných zdrojích, použijte _Im_WebSession analyzátor filtrování nebo _ASim_WebSession analyzátor bez parametrů.
Nasazené ImWebSession pracovní prostory a ASimWebSession analyzátory můžete použít také tak, že je nasadíte z úložiště Microsoft Sentinel na GitHubu. Další informace najdete v integrovaných analyzátorech ASIM a analyzátorech nasazených v pracovním prostoru.
Předefinované analyzátory specifické pro zdroj
Seznam analyzátorů webových relací, které Microsoft Sentinel nabízí, najdete v seznamu analyzátorů ASIM.
Přidání vlastních normalizovaných analyzátorů
Při implementaci vlastních analyzátorů pro informační model webové relace pojmenujte funkce KQL pomocí následující syntaxe:
vimWebSession<vendor><Product>pro parametrizované analyzátoryASimWebSession<vendor><Product>pro pravidelné analyzátory
Filtrování parametrů analyzátoru
vim* Analyzátory im podporují parametry filtrování. I když jsou tyto analyzátory volitelné, můžou zlepšit výkon dotazů.
K dispozici jsou následující parametry filtrování:
| Name | Typ | Popis |
|---|---|---|
| čas zahájení | datetime | Filtrovat pouze webové relace, které se v tuto chvíli spustily nebo po této době. |
| endtime | datetime | Filtrovat pouze webové relace, které byly spuštěny v této době nebo dříve. |
| srcipaddr_has_any_prefix | dynamic | Vyfiltrujte pouze webové relace, pro které je předpona pole zdrojové IP adresy v jedné z uvedených hodnot. Seznam hodnot může zahrnovat IP adresy a předpony IP adres. Předpony by měly končit například : .10.0.. Délka seznamu je omezená na 10 000 položek. |
| ipaddr_has_any_prefix | dynamic | Vyfiltrujte pouze síťové relace, pro které je pole cílové IP adresy nebo předpona pole zdrojové IP adresy v jedné z uvedených hodnot. Předpony by měly končit například : .10.0.. Délka seznamu je omezená na 10 000 položek.Pole ASimMatchingIpAddr je nastaveno s jednou z hodnot SrcIpAddr, DstIpAddrnebo Both odrážejí odpovídající pole nebo pole. |
| url_has_any | dynamic | Filtrování pouze webových relací, pro které pole URL obsahuje některou z uvedených hodnot. Analyzátor může ignorovat schéma adresy URL předané jako parametr, pokud zdroj ho neohlásí. Pokud je zadána relace a relace není webovou relací, nebude vrácen žádný výsledek. Délka seznamu je omezená na 10 000 položek. |
| httpuseragent_has_any | dynamic | Vyfiltrujte pouze webové relace, pro které pole uživatelského agenta obsahuje některou z uvedených hodnot. Pokud je zadána relace a relace není webovou relací, nebude vrácen žádný výsledek. Délka seznamu je omezená na 10 000 položek. |
| eventresultdetails_in | dynamic | Vyfiltrujte pouze webové relace, pro které je stavový kód HTTP uložený v poli EventResultDetails , některou z uvedených hodnot. |
| eventresult | string | Filtrujte pouze síťové relace s konkrétní hodnotou EventResult . |
Některý parametr může přijmout oba seznamy hodnot typu dynamic nebo jednu řetězcovou hodnotu. Pokud chcete předat literálový seznam parametrům, které očekávají dynamickou hodnotu, explicitně použijte dynamický literál. Příklad: dynamic(['192.168.','10.'])
Pokud chcete například filtrovat pouze webové relace pro zadaný seznam názvů domén, použijte:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Podrobnosti schématu
Model informací o webové relaci je v souladu se schématem entity sítě OSSEM a schématem entity OSSEM HTTP.
Pro splnění oborových osvědčených postupů schéma webové relace používá popisovače Src a Dst k identifikaci zdroje a cílových zařízení relace bez zahrnutí tokenu Dvc do názvu pole.
Například název hostitele zdrojového zařízení a IP adresa mají název SrcHostname a SrcIpAddr, nikoli název hostitele SrcDvca SrcDvcIpAddr. Předpona Dvc se používá pouze pro hlášení nebo zprostředkující zařízení podle potřeby.
Pole, která popisují uživatele a aplikaci přidruženou ke zdrojovému a cílovému zařízení, používají také popisovače Src a Dst .
Jiná schémata ASIM obvykle místo Dst používají cíl.
Běžná pole ASIM
Důležité
Pole společná pro všechna schémata jsou podrobně popsaná v článku o společných polích ASIM.
Běžná pole s konkrétními pokyny
Následující seznam uvádí pole, která mají specifické pokyny pro události webové relace:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Typ události | Povinné | Enumerated | Popisuje operaci hlášenou záznamem. Povolené hodnoty jsou následující: - HTTPsession: Označuje síťovou relaci používanou pro PROTOKOL HTTP nebo HTTPS, obvykle hlášené zprostředkujícím zařízením, jako je proxy server nebo brána zabezpečení webu.- WebServerSession: Označuje požadavek HTTP hlášený webovým serverem. Taková událost obvykle obsahuje méně informací souvisejících se sítí. Hlášená adresa URL by neměla obsahovat schéma a název serveru, ale pouze cestu a parametry části adresy URL. - ApiRequest: Označuje požadavek HTTP hlášený při volání rozhraní API, obvykle hlášený aplikačním serverem. Taková událost obvykle obsahuje méně informací souvisejících se sítí. Při hlášení aplikačním serverem by hlášená adresa URL neměla obsahovat schéma a název serveru, ale pouze cestu a parametry části adresy URL. |
| EventResult | Povinné | Enumerated | Popisuje výsledek události normalizovaný na jednu z následujících hodnot: - Success - Partial - Failure - NA (nelze použít) Pro relaci Success HTTP je definován jako stavový kód nižší než 400a Failure je definován jako stavový kód vyšší než 400. Seznam stavových kódů HTTP najdete v organizaci W3.Zdroj může poskytnout pouze hodnotu pro pole EventResultDetails , které je potřeba analyzovat, aby se získala hodnota EventResult . |
| EventResultDetails | Doporučené | String | Stavový kód HTTP Poznámka: Hodnota může být uvedena ve zdrojovém záznamu pomocí různých termínů, které by měly být normalizovány na tyto hodnoty. Původní hodnota by měla být uložena v poli EventOriginalResultDetails . |
| EventSchema | Povinné | String | Název schématu popsaného zde je WebSession. |
| EventSchemaVersion | Povinné | String | Verze schématu. Verze zde popsaného schématu je 0.2.6 |
| Pole Dvc | V případě událostí webové relace pole zařízení odkazují na systém, který hlásí událost webové relace. Obvykle se jedná o zprostředkující zařízení pro HTTPSession události a cílový web nebo aplikační server pro WebServerSession události a ApiRequest události. |
Všechna společná pole
Pole, která se zobrazují v následující tabulce, jsou společná pro všechna schémata ASIM. Všechny výše uvedené pokyny přepíší obecné pokyny pro dané pole. Pole může být například volitelné obecně, ale povinné pro konkrétní schéma. Další podrobnosti o jednotlivých polích najdete v článku o společných polích ASIM.
| Třída | Pole |
|---|---|
| Povinné | - EventCount - EventStartTime - EventEndTime - Typ události - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Doporučené | - EventResultDetails - EventSeverity - Id události - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Volitelné | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - UdálostOriginalSeverity - EventProductVersion - EventReportUrl - Vlastník události - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Další pole - Popis dvcDescription - DvcScopeId - DvcScope |
Pole relace sítě
Relace HTTP jsou relace aplikační vrstvy, které jako podkladovou relaci síťové vrstvy využívají protokol TCP/IP. Schéma webové relace je super sada schématu síťové relace ASIM a všechna pole schématu sítě jsou zahrnuta také do schématu webové relace.
Následující pole schématu relace sítě ASIM mají při použití události webové relace specifické pokyny:
- Alias User by měl odkazovat na SrcUsername , a ne na DstUsername.
- Pole EventOriginalResultDetails může obsahovat jakýkoli výsledek hlášený zdrojem kromě stavového kódu HTTP uloženého v EventResultDetails.
- U webových relací je primárním cílovým polem pole Adresa URL. DstDomain je nepovinná, nikoli doporučená. Konkrétně pokud není k dispozici, není potřeba ho extrahovat z adresy URL v analyzátoru.
- Pole
NetworkRuleNameaNetworkRuleNumberjsou přejmenovánaRuleNameaRuleNumberv uvedeném pořadí.
Události webové relace jsou běžně hlášeny zprostředkujícími zařízeními, která ukončují připojení HTTP z klienta a zahájí nové připojení, které funguje jako proxy server se serverem. Chcete-li reprezentovat zprostředkující zařízení, použijte pole zprostředkujícího zařízení schématu síťové relace ASIM.
Pole relace HTTP
Následují další pole specifická pro webové relace:
| Pole | Třída | Typ | Popis |
|---|---|---|---|
| Adresa URL | Povinné | String | Adresa URL požadavku HTTP, včetně parametrů. U HTTPSession událostí může adresa URL obsahovat schéma a měla by obsahovat název serveru. Pro WebServerSession adresu URL a ApiRequest adresa URL obvykle neobsahuje schéma a server, které lze najít v NetworkApplicationProtocol příslušných polích.DstFQDN Příklad: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | Volitelné | String | Definované seskupení adresy URL nebo části domény adresy URL. Kategorii běžně poskytují brány zabezpečení webu a jsou založeny na obsahu webu, na který adresa URL odkazuje. Příklad: vyhledávací weby, dospělí, zprávy, reklama a parkované domény. |
| UrlOriginal | Volitelné | String | Původní hodnota adresy URL, kdy byla adresa URL upravena zařízením pro generování sestav a jsou k dispozici obě hodnoty. |
| HttpVersion | Volitelné | String | Verze požadavku HTTP. Příklad: 2.0 |
| HttpRequestMethod | Doporučené | Enumerated | Metoda HTTP. Hodnoty jsou definovány v RFC 7231 a RFC 5789 a zahrnují GET, , HEAD, POST, PUTDELETE, CONNECT, , OPTIONSTRACEa PATCH.Příklad: GET |
| HttpStatusCode | Alias | Stavový kód HTTP. Alias pro EventResultDetails | |
| HttpContentType | Volitelné | String | Hlavička typu obsahu odpovědi HTTP. Poznámka: Pole HttpContentType může obsahovat jak formát obsahu, tak i další parametry, například kódování použité k získání skutečného formátu. Příklad: text/html; charset=ISO-8859-4 |
| HttpContentFormat | Volitelné | String | Část formátu obsahu httpContentType Příklad: text/html |
| HttpReferrer | Volitelné | String | Hlavička referreru HTTP. Poznámka: ASIM, v synchronizaci s OSSEM, používá správný pravopis pro referrer, a ne původní pravopis hlavičky HTTP. Příklad: https://developer.mozilla.org/docs |
| HttpUserAgent | Volitelné | String | Hlavička uživatelského agenta HTTP. Příklad: Mozilla/5.0(systém Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, například Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| UserAgent | Alias | Alias pro HttpUserAgent | |
| HttpRequestXff | Volitelné | IP adresa | Hlavička HTTP X-Forwarded-For. Příklad: 120.12.41.1 |
| HttpRequestTime | Volitelné | Celé číslo | Doba v milisekundách trvala odeslání požadavku na server( pokud je to možné). Příklad: 700 |
| HttpResponseTime | Volitelné | Celé číslo | Doba v milisekundách trvala přijetí odpovědi na serveru, pokud je to možné. Příklad: 800 |
| HttpHost | Volitelné | String | Virtuální webový server, na který cílí požadavek HTTP. Tato hodnota je obvykle založena na hlavičce hostitele HTTP. |
| Jméno souboru | Volitelné | String | V případě nahrání PROTOKOLU HTTP zadejte název nahraného souboru. |
| FileMD5 | Volitelné | MD5 | V případě nahrání protokolu HTTP hodnota hash MD5 nahraného souboru. Příklad: 75a599802f1fa166cdadb360960b1dd0 |
| FileSHA1 | Volitelné | SHA1 | Pro nahrání protokolu HTTP hodnota hash SHA1 nahraného souboru. Příklad: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| FileSHA256 | Volitelné | SHA256 | Pro nahrání protokolu HTTP je hodnota hash SHA256 nahraného souboru. Příklad: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| FileSHA512 | Volitelné | SHA512 | V případě nahrání protokolu HTTP je hodnota hash SHA512 nahraného souboru. |
| Hash | Alias | Alias k dostupnému poli Hash. | |
| FileHashType | Volitelné | Enumerated | Typ hodnoty hash v poli Hash . Mezi možné hodnoty patří: MD5, SHA1, SHA256a SHA512. |
| Velikost souboru | Volitelné | Dlouhé celé číslo | U nahrání PROTOKOLU HTTP je velikost v bajtech nahraného souboru. |
| FileContentType | Volitelné | String | U nahrání protokolu HTTP je typ obsahu nahraného souboru. |
Další pole
Pokud je událost hlášena jedním z koncových bodů webové relace, může obsahovat informace o procesu, který inicioval nebo ukončil relaci. V takových případech schéma událostí procesu ASIM pro normalizaci těchto informací.
Aktualizace schématu
Schéma webové relace závisí na schématu síťové relace. Aktualizace schématu relace sítě se proto vztahují také na schéma webové relace.
Níže jsou uvedené změny ve verzi 0.2.5 schématu:
- Bylo přidáno pole
HttpHost.
Níže jsou uvedené změny ve verzi 0.2.6 schématu:
- Typ FileSize byl změněn z integer na Long.
Další kroky
Další informace naleznete v tématu: