Delen via


The Advanced Security Information Model (ASIM) Web Session normalization schema reference (Public Preview)

Het schema voor normalisatie van websessies wordt gebruikt om een IP-netwerkactiviteit te beschrijven. Ip-netwerkactiviteiten worden bijvoorbeeld gerapporteerd door webservers, webproxy's en webbeveiligingsgateways.

Zie Normalization and the Advanced Security Information Model (ASIM) voor meer informatie over normalisatie in Microsoft Sentinel.

Belangrijk

Het schema voor netwerknormalisatie bevindt zich momenteel in PREVIEW. Deze functie wordt geleverd zonder service level agreement en wordt niet aanbevolen voor productieworkloads.

De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Schemaoverzicht

Het normalisatieschema voor websessies vertegenwoordigt elke HTTP-netwerksessie en is geschikt voor ondersteuning voor algemene brontypen, waaronder:

  • Webservers
  • Webproxy's
  • Webbeveiligingsgateways

Het ASIM-websessieschema vertegenwoordigt http- en HTTPS-protocolactiviteit. Aangezien het schema protocolactiviteit vertegenwoordigt, wordt het beheerd door RFC's en officieel toegewezen parameterlijsten, waarnaar in dit artikel wordt verwezen, indien van toepassing.

Het websessieschema vertegenwoordigt geen controlegebeurtenissen van bronapparaten. Een gebeurtenis die een webbeveiligingsgatewaybeleid wijzigt, kan bijvoorbeeld niet worden vertegenwoordigd door het websessieschema.

Omdat HTTP-sessies toepassingslaagsessies zijn die GEBRUIKMAKEN van TCP/IP als de onderliggende netwerklaagsessie, is het websessieschema een superset van het ASIM-netwerksessieschema.

De belangrijkste velden in een websessieschema zijn:

  • URL, die de URL rapporteert die de client heeft aangevraagd op de server.
  • SrcIpAddr (aliased to IpAddr), dat het IP-adres vertegenwoordigt van waaruit de aanvraag is gegenereerd.
  • Het veld EventResultDetails , dat doorgaans de HTTP-statuscode rapporteert.

Websessie-gebeurtenissen kunnen ook gebruikers- en procesgegevens bevatten voor de gebruiker en het proces voor het initiëren van de aanvraag.

Parsers

Zie het overzicht van ASIM-parsers voor meer informatie over ASIM-parsers.

Parsers opheffen

Als u parsers wilt gebruiken die alle out-of-the-box parsers van ASIM samenvoegen en ervoor zorgen dat uw analyse wordt uitgevoerd op alle geconfigureerde bronnen, gebruikt u de _Im_WebSession filterparser of de _ASim_WebSession parameterloze parser.

U kunt ook werkruimte-geïmplementeerde ImWebSession parsers ASimWebSession gebruiken door ze te implementeren vanuit de GitHub-opslagplaats van Microsoft Sentinel. Zie ingebouwde ASIM-parsers en door de werkruimte geïmplementeerde parsers voor meer informatie.

Out-of-the-box, bronspecifieke parsers

Voor de lijst met websessieparsers biedt Microsoft Sentinel out-of-the-box raadpleegt u de lijst met ASIM-parsers

Uw eigen genormaliseerde parsers toevoegen

Bij het implementeren van aangepaste parsers voor het websessiegegevensmodel, noemt u uw KQL-functies met behulp van de volgende syntaxis:

  • vimWebSession<vendor><Product> voor geparametriseerde parsers
  • ASimWebSession<vendor><Product> voor reguliere parsers

Parserparameters filteren

De im parsers vim* ondersteunen filterparameters. Hoewel deze parsers optioneel zijn, kunnen ze uw queryprestaties verbeteren.

De volgende filterparameters zijn beschikbaar:

Name Type Description
begintijd datetime Filter alleen websessies die op of na deze tijd zijn gestart .
eindtijd datetime Filter alleen websessies die op of vóór deze tijd zijn gestart .
srcipaddr_has_any_prefix dynamisch Filter alleen websessies waarvoor het voorvoegsel van het bron-IP-adresveld zich in een van de vermelde waarden bevindt. De lijst met waarden kan IP-adressen en IP-adresvoorvoegsels bevatten. Voorvoegsels moeten eindigen op een ., bijvoorbeeld: 10.0.. De lengte van de lijst is beperkt tot 10.000 items.
ipaddr_has_any_prefix dynamisch Filter alleen netwerksessies waarvoor het doel-IP-adresveld of het voorvoegsel van het bron-IP-adres zich in een van de vermelde waarden bevindt. Voorvoegsels moeten eindigen op een ., bijvoorbeeld: 10.0.. De lengte van de lijst is beperkt tot 10.000 items.

Het veld ASimMatchingIpAddr wordt ingesteld met een van de waarden SrcIpAddr, DstIpAddrof Both om de overeenkomende velden of velden weer te geven.
url_has_any dynamisch Filter alleen websessies waarvoor het URL-veld een van de vermelde waarden heeft. De parser kan het schema van de DOORgegeven URL negeren als parameter, als de bron het niet rapporteert. Indien opgegeven en de sessie geen websessie is, wordt er geen resultaat geretourneerd. De lengte van de lijst is beperkt tot 10.000 items.
httpuseragent_has_any dynamisch Filter alleen websessies waarvoor het veld gebruikersagent een van de waarden bevat. Indien opgegeven en de sessie geen websessie is, wordt er geen resultaat geretourneerd. De lengte van de lijst is beperkt tot 10.000 items.
eventresultdetails_in dynamisch Filter alleen websessies waarvoor de HTTP-statuscode, die is opgeslagen in het veld EventResultDetails , een van de vermelde waarden is.
eventresult tekenreeks Filter alleen netwerksessies met een specifieke EventResult-waarde .

Sommige parameters kunnen beide lijst met waarden van het type dynamic of één tekenreekswaarde accepteren. Als u een letterlijke lijst wilt doorgeven aan parameters die een dynamische waarde verwachten, gebruikt u expliciet een dynamische letterlijke waarde. Bijvoorbeeld: dynamic(['192.168.','10.'])

Als u bijvoorbeeld alleen websessies wilt filteren voor een opgegeven lijst met domeinnamen, gebruikt u:

let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)

Schemadetails

Het websessieinformatiemodel is afgestemd op het OSSEM Network-entiteitsschema en het OSSEM HTTP-entiteitsschema.

Om te voldoen aan aanbevolen procedures voor de branche, gebruikt het websessieschema descriptors Src en Dst om de sessiebron- en doelapparaten te identificeren, zonder het token Dvc in de veldnaam op te geven.

De hostnaam en het IP-adres van het bronapparaat hebben dus respectievelijk de naam SrcHostname en SrcIpAddr , en niet SrcDvcHostname en SrcDvcIpAddr. Het voorvoegsel Dvc wordt alleen gebruikt voor het rapportage- of intermediaire apparaat, indien van toepassing.

In velden die de gebruiker en toepassing beschrijven die zijn gekoppeld aan de bron- en doelapparaten, worden ook de Src- en Dst-descriptors gebruikt.

Andere ASIM-schema's gebruiken doorgaans Target in plaats van Dst.

Algemene ASIM-velden

Belangrijk

Velden die voor alle schema's gelden, worden uitgebreid beschreven in het artikel Algemene ASIM-velden .

Algemene velden met specifieke richtlijnen

De volgende lijst vermeldt velden met specifieke richtlijnen voor websessie-gebeurtenissen:

Veld Klas Type Description
EventType Verplicht Enumerated Beschrijft de bewerking die door de record is gerapporteerd. Toegestane waarden zijn:
- HTTPsession: Geeft een netwerksessie aan die wordt gebruikt voor HTTP of HTTPS, meestal gerapporteerd door een tussenliggend apparaat, zoals een proxy of een webbeveiligingsgateway.
- WebServerSession: Geeft een HTTP-aanvraag aan die door een webserver is gerapporteerd. Een dergelijke gebeurtenis heeft doorgaans minder netwerkgerelateerde informatie. De gerapporteerde URL mag geen schema en servernaam bevatten, maar alleen het pad en de parameters die deel uitmaken van de URL.
- ApiRequest: Geeft een HTTP-aanvraag aan die is gerapporteerd aan een API-aanroep, meestal gerapporteerd door een toepassingsserver. Een dergelijke gebeurtenis heeft doorgaans minder netwerkgerelateerde informatie. Wanneer de door de toepassingsserver gerapporteerde URL geen schema en servernaam bevat, maar alleen het pad en de parameters die deel uitmaken van de URL.
EventResult Verplicht Enumerated Beschrijft het resultaat van de gebeurtenis, genormaliseerd tot een van de volgende waarden:
- Success
- Partial
- Failure
- NA (niet van toepassing)

Voor een HTTP-sessie Success wordt gedefinieerd als een statuscode lager dan 400en Failure wordt deze gedefinieerd als een statuscode die hoger is dan 400. Raadpleeg W3 Org voor een lijst met HTTP-statuscodes.

De bron kan alleen een waarde voor het veld EventResultDetails opgeven, die moet worden geanalyseerd om de Waarde EventResult op te halen.
EventResultDetails Aanbevolen String De HTTP-statuscode.

Opmerking: De waarde kan worden opgegeven in de bronrecord met behulp van verschillende termen, die moeten worden genormaliseerd voor deze waarden. De oorspronkelijke waarde moet worden opgeslagen in het veld EventOriginalResultDetails .
EventSchema Verplicht String De naam van het schema dat hier wordt beschreven, is WebSession.
EventSchemaVersion Verplicht String De versie van het schema. De versie van het schema dat hier wordt beschreven, is 0.2.6
Dvc-velden Voor websessie-gebeurtenissen verwijzen apparaatvelden naar het systeem dat de websessie-gebeurtenis rapporteert. Dit is doorgaans een tussenliggend apparaat voor HTTPSession gebeurtenissen en de doelweb- of toepassingsserver voor WebServerSession en ApiRequest gebeurtenissen.

Alle algemene velden

Velden die in de onderstaande tabel worden weergegeven, zijn gebruikelijk voor alle ASIM-schema's. Elke hierboven opgegeven richtlijn overschrijft de algemene richtlijnen voor het veld. Een veld kan bijvoorbeeld optioneel zijn in het algemeen, maar verplicht voor een specifiek schema. Raadpleeg het artikel Algemene ASIM-velden voor meer informatie over elk veld.

Klas Velden
Verplicht - EventCount
- EventStartTime
- EventEndTime
- EventType
- EventResult
- EventProduct
- EventVendor
- EventSchema
- EventSchemaVersion
- Dvc
Aanbevolen - EventResultDetails
- EventSeverity
- EventUid
- DvcIpAddr
- DvcHostname
- DvcDomain
- DvcDomainType
- DvcFQDN
- DvcId
- DvcIdType
- DvcAction
Optioneel - EventMessage
- EventSubType
- EventOriginalUid
- EventOriginalType
- EventOriginalSubType
- EventOriginalResultDetails
- EventOriginalSeverity
- EventProductVersion
- EventReportUrl
- EventOwner
- DvcZone
- DvcMacAddr
- DvcOs
- DvcOsVersion
- DvcOriginalAction
- DvcInterface
- AdditionalFields
- DvcDescription
- DvcScopeId
- DvcScope

Netwerksessievelden

HTTP-sessies zijn sessie in de toepassingslaag die TCP/IP gebruiken als de onderliggende netwerklaagsessie. Het websessieschema is een superset van het ASIM-netwerksessieschema en alle netwerkschemavelden zijn ook opgenomen in het websessieschema.

De volgende ASIM-netwerksessieschemavelden hebben specifieke richtlijnen wanneer deze worden gebruikt voor een websessie-gebeurtenis:

  • De aliasgebruiker moet verwijzen naar de SrcUsername en niet naar DstUsername.
  • Het veld EventOriginalResultDetails kan elk resultaat bevatten dat door de bron wordt gerapporteerd, naast de HTTP-statuscode die is opgeslagen in EventResultDetails.
  • Voor websessies is het primaire doelveld het URL-veld. Het DstDomain is optioneel in plaats van aanbevolen. Als deze niet beschikbaar is, hoeft u deze niet uit de URL in de parser te extraheren.
  • De velden NetworkRuleName en NetworkRuleNumber worden hernoemd RuleName en RuleNumber respectievelijk.

Websessie-gebeurtenissen worden vaak gerapporteerd door tussenliggende apparaten die de HTTP-verbinding van de client beëindigen en een nieuwe verbinding initiëren, die als proxy fungeren, met de server. Als u het tussenliggende apparaat wilt weergeven, gebruikt u de velden van het ASIM-netwerksessieschemaIntermediair apparaat

HTTP-sessievelden

Hier volgen aanvullende velden die specifiek zijn voor websessies:

Veld Klas Type Description
URL Verplicht String De URL van de HTTP-aanvraag, inclusief parameters. Voor HTTPSession gebeurtenissen kan de URL het schema bevatten en moet de servernaam bevatten. Voor WebServerSession en voor ApiRequest de URL zou doorgaans niet het schema en de server bevatten, die respectievelijk in de NetworkApplicationProtocol en DstFQDN velden te vinden zijn.

Voorbeeld: https://contoso.com/fo/?k=v&amp;q=u#f
UrlCategory Optioneel String De gedefinieerde groepering van een URL of het domeingedeelte van de URL. De categorie wordt meestal geleverd door webbeveiligingsgateways en is gebaseerd op de inhoud van de site waarnaar de URL verwijst.

Voorbeeld: zoekmachines, volwassenen, nieuws, reclame en geparkeerde domeinen.
UrlOriginal Optioneel String De oorspronkelijke waarde van de URL, wanneer de URL is gewijzigd door het rapportageapparaat en beide waarden worden opgegeven.
HttpVersion Optioneel String De HTTP-aanvraagversie.

Voorbeeld: 2.0
HttpRequestMethod Aanbevolen Enumerated De HTTP-methode. De waarden zijn zoals gedefinieerd in RFC 7231 en RFC 5789, en omvatten GET, , HEAD, , POSTPUT, , DELETE, CONNECT, , OPTIONSen TRACE.PATCH

Voorbeeld: GET
HttpStatusCode Alias De HTTP-statuscode. Alias naar EventResultDetails.
HttpContentType Optioneel String De header van het HTTP-antwoordinhoudstype.

Opmerking: Het veld HttpContentType kan zowel de inhoudsindeling als extra parameters bevatten, zoals de codering die wordt gebruikt om de werkelijke indeling op te halen.

Voorbeeld: text/html; charset=ISO-8859-4
HttpContentFormat Optioneel String Het inhoudsopmaakgedeelte van het HttpContentType

Voorbeeld: text/html
HttpReferrer Optioneel String De HTTP-verwijzingsheader.

Opmerking: ASIM, gesynchroniseerd met OSSEM, gebruikt de juiste spelling voor referrer en niet de oorspronkelijke HTTP-headerspelling.

Voorbeeld: https://developer.mozilla.org/docs
HttpUserAgent Optioneel String De header van de HTTP-gebruikersagent.

Voorbeeld:
Mozilla/5.0 (Windows NT 10.0; WOW64)
AppleWebKit/537.36 (KHTML, zoals Gecko)
Chrome/83.0.4103.97 Safari/537.36
UserAgent Alias Alias naar HttpUserAgent
HttpRequestXff Optioneel IP-adres De HTTP X-Forwarded-For-header.

Voorbeeld: 120.12.41.1
HttpRequestTime Optioneel Geheel getal De hoeveelheid tijd, in milliseconden, kostte het om de aanvraag naar de server te verzenden, indien van toepassing.

Voorbeeld: 700
HttpResponseTime Optioneel Geheel getal De hoeveelheid tijd, in milliseconden, duurde het om een antwoord op de server te ontvangen, indien van toepassing.

Voorbeeld: 800
HttpHost Optioneel String De virtuele webserver waarop de HTTP-aanvraag is gericht. Deze waarde is doorgaans gebaseerd op de HTTP-hostheader.
Bestandsnaam Optioneel String Voor HTTP-uploads, de naam van het geüploade bestand.
FileMD5 Optioneel MD5 Voor HTTP-uploads is de MD5-hash van het geüploade bestand.

Voorbeeld: 75a599802f1fa166cdadb360960b1dd0
FileSHA1 Optioneel SHA1 Voor HTTP-uploads is de SHA1-hash van het geüploade bestand.

Voorbeeld:
d55c5a4df19b46db8c54
c801c4665d3338acdab0
FileSHA256 Optioneel SHA256 Voor HTTP-uploads is de SHA256-hash van het geüploade bestand.

Voorbeeld:
e81bb824c4a09a811af17deae22f22dd
2e1ec8cbb00b22629d2899f7c68da274
FileSHA512 Optioneel SHA512 Voor HTTP-uploads is de SHA512-hash van het geüploade bestand.
Hash Alias Alias naar het beschikbare Hash-veld.
FileHashType Optioneel Enumerated Het type hash in het hash-veld . Mogelijke waarden zijn: MD5, SHA1, SHA256en SHA512.
FileSize Optioneel Lang Voor HTTP-uploads is de grootte in bytes van het geüploade bestand.
FileContentType Optioneel String Voor HTTP-uploads is het inhoudstype van het geüploade bestand.

Andere velden

Als de gebeurtenis wordt gerapporteerd door een van de eindpunten van de websessie, kan deze informatie bevatten over het proces dat de sessie heeft gestart of beëindigd. In dergelijke gevallen is het ASIM-proces gebeurtenisschema om deze informatie te normaliseren.

Schema-updates

Het websessieschema is afhankelijk van het netwerksessieschema. Daarom zijn schema-updates voor netwerksessies ook van toepassing op het websessieschema.

Hier volgen de wijzigingen in versie 0.2.5 van het schema:

  • Het veld HttpHostis toegevoegd.

Hier volgen de wijzigingen in versie 0.2.6 van het schema:

  • Het type FileSize is gewijzigd van Integer in Long.

Volgende stappen

Zie voor meer informatie: