Schemareferens för normaliseringsschema för avancerad säkerhetsinformationsmodell (ASIM) (offentlig förhandsversion)
Normaliseringsschemat för webbsessioner används för att beskriva en IP-nätverksaktivitet. Till exempel rapporteras IP-nätverksaktiviteter av webbservrar, webbproxyservrar och webbsäkerhetsgatewayer.
Mer information om normalisering i Microsoft Sentinel finns i Normalisering och ASIM (Advanced Security Information Model).
Viktigt!
Schemat för nätverksnormalisering är för närvarande i förhandsversion. Den här funktionen tillhandahålls utan ett serviceavtal och rekommenderas inte för produktionsarbetsbelastningar.
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Schemaöversikt
Normaliseringsschemat för webbsessioner representerar alla HTTP-nätverkssessioner och är lämpligt för att ge stöd för vanliga källtyper, inklusive:
- Webbservrar
- Webbproxy
- Webbsäkerhetsgatewayer
ASIM-webbsessionsschemat representerar HTTP- och HTTPS-protokollaktivitet. Eftersom schemat representerar protokollaktivitet styrs det av RFC:er och officiellt tilldelade parameterlistor, som refereras till i den här artikeln när det är lämpligt.
Webbsessionsschemat representerar inte granskningshändelser från källenheter. En händelse som ändrar en princip för websäkerhetsgateway kan till exempel inte representeras av webbsessionsschemat.
Eftersom HTTP-sessioner är programnivåsessioner som använder TCP/IP som den underliggande nätverksskiktssessionen är webbsessionsschemat en superuppsättning av ASIM-nätverkssessionsschemat.
De viktigaste fälten i ett webbsessionsschema är:
- Url, som rapporterar url:en som klienten begärde från servern.
- SrcIpAddr (alias till IpAddr), som representerar DEN IP-adress som begäran genererades från.
- Fältet EventResultDetails , som vanligtvis rapporterar HTTP-statuskoden.
Webbsessionshändelser kan också innehålla användar- och processinformation för användaren och processen med att initiera begäran.
Tolkar
Mer information om ASIM-parsare finns i översikten över ASIM-parsare.
Förena parsers
Om du vill använda parsers som förenar alla ASIM-parsare och ser till att analysen körs över alla konfigurerade källor använder du _Im_WebSession filtreringsparsern eller parsern _ASim_WebSession utan parameter.
Du kan också använda arbetsytedistribuerade ImWebSession och ASimWebSession parsare genom att distribuera dem från Microsoft Sentinel GitHub-lagringsplatsen. Mer information finns i inbyggda ASIM-parsare och arbetsytedistribuerade parsers.
Färdiga, källspecifika parsare
I listan över webbsessionsparsers innehåller Microsoft Sentinel en out-of-the-box-lista med ASIM-parsare
Lägg till dina egna normaliserade parsers
När du implementerar anpassade parsers för webbsessionsinformationsmodellen namnger du dina KQL-funktioner med hjälp av följande syntax:
vimWebSession<vendor><Product>för parametriserade parsersASimWebSession<vendor><Product>för vanliga parsare
Filtrera parserparametrar
Parsarna im och vim* stöder filtreringsparametrar. Även om dessa parsers är valfria kan de förbättra frågeprestandan.
Följande filtreringsparametrar är tillgängliga:
| Namn | Type | Beskrivning |
|---|---|---|
| starttime | datetime | Filtrera endast webbsessioner som startade vid eller efter den här tiden. |
| sluttid | datetime | Filtrera endast webbsessioner som började köras vid eller före den här tiden. |
| srcipaddr_has_any_prefix | dynamisk | Filtrera endast webbsessioner där käll-IP-adressfältets prefix finns i något av de angivna värdena. Listan med värden kan innehålla IP-adresser och IP-adressprefix. Prefix bör sluta med , .till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt. |
| ipaddr_has_any_prefix | dynamisk | Filtrera endast nätverkssessioner för vilka mål-IP-adressfältet eller käll-IP-adressfältets prefix finns i något av de angivna värdena. Prefix bör sluta med , .till exempel: 10.0.. Listans längd är begränsad till 10 000 objekt.Fältet ASimMatchingIpAddr anges med ett av värdena SrcIpAddr, DstIpAddreller Both för att återspegla de matchande fälten eller fälten. |
| url_has_any | dynamisk | Filtrera endast webbsessioner för vilka URL-fältet har något av de värden som anges. Parsern kan ignorera schemat för url:en som skickas som en parameter, om källan inte rapporterar den. Om det anges och sessionen inte är en webbsession returneras inget resultat. Listans längd är begränsad till 10 000 objekt. |
| httpuseragent_has_any | dynamisk | Filtrera endast webbsessioner där användaragentfältet har något av de värden som anges. Om det anges och sessionen inte är en webbsession returneras inget resultat. Listans längd är begränsad till 10 000 objekt. |
| eventresultdetails_in | dynamisk | Filtrera endast webbsessioner för vilka HTTP-statuskoden, som lagras i fältet EventResultDetails , är något av de värden som anges. |
| eventresult | sträng | Filtrera endast nätverkssessioner med ett specifikt EventResult-värde . |
Vissa parametrar kan acceptera båda värdena av typen dynamic eller ett enda strängvärde. Om du vill skicka en literallista till parametrar som förväntar sig ett dynamiskt värde använder du uttryckligen en dynamisk literal. Till exempel: dynamic(['192.168.','10.'])
Om du till exempel bara vill filtrera webbsessioner för en angiven lista med domännamn använder du:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Schemainformation
Informationsmodellen för webbsessioner är justerad med OSSEM-nätverksentitetsschemat och OSSEM HTTP-entitetsschemat.
För att följa branschens metodtips använder webbsessionsschemat deskriptorerna Src och Dst för att identifiera sessionskällan och målenheterna, utan att inkludera token-Dvc i fältnamnet.
Till exempel heter till exempel källenhetens värdnamn och IP-adress SrcHostname respektive SrcIpAddr , och inte SrcDvcHostname och SrcDvcIpAddr. Prefixet Dvc används endast för rapporterings- eller mellanhandsenheten, i förekommande fall.
Fält som beskriver användaren och programmet som är associerade med käll- och målenheterna använder också Src - och Dst-beskrivningarna .
Andra ASIM-scheman använder vanligtvis Mål i stället för Dst.
Vanliga ASIM-fält
Viktigt!
Fält som är gemensamma för alla scheman beskrivs i detalj i artikeln vanliga ASIM-fält .
Vanliga fält med specifika riktlinjer
I följande lista nämns fält som har specifika riktlinjer för webbsessionshändelser:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| EventType | Obligatorisk | Enumerated | Beskriver den åtgärd som rapporterats av posten. Tillåtna värden är: - HTTPsession: Anger en nätverkssession som används för HTTP eller HTTPS, som vanligtvis rapporteras av en mellanliggande enhet, till exempel en proxy eller en webbsäkerhetsgateway.- WebServerSession: Anger en HTTP-begäran som rapporteras av en webbserver. En sådan händelse har vanligtvis mindre nätverksrelaterad information. Den rapporterade URL:en ska inte innehålla ett schema och ett servernamn, utan endast sökvägen och parametrarna i URL:en. - ApiRequest: Anger en HTTP-begäran som rapporteras som associerad med ett API-anrop, som vanligtvis rapporteras av en programserver. En sådan händelse har vanligtvis mindre nätverksrelaterad information. När den rapporteras av programservern ska den rapporterade URL:en inte innehålla ett schema och ett servernamn, utan endast sökvägen och parametrarna i URL:en. |
| EventResult | Obligatorisk | Enumerated | Beskriver händelseresultatet, normaliserat till något av följande värden: - Success - Partial - Failure - NA (ej tillämpligt) För en HTTP-session Success definieras som en statuskod som är lägre än 400och Failure definieras som en statuskod som är högre än 400. En lista över HTTP-statuskoder finns i W3 Org.Källan får endast ange ett värde för fältet EventResultDetails, som måste analyseras för att hämta värdet EventResult . |
| EventResultDetails | Rekommenderat | String | HTTP-statuskoden. Obs! Värdet kan anges i källposten med olika termer, som bör normaliseras till dessa värden. Det ursprungliga värdet ska lagras i fältet EventOriginalResultDetails . |
| EventSchema | Obligatorisk | String | Namnet på schemat som dokumenteras här är WebSession. |
| EventSchemaVersion | Obligatorisk | String | Versionen av schemat. Den version av schemat som dokumenteras här är 0.2.6 |
| Dvc-fält | För webbsessionshändelser refererar enhetsfälten till systemet som rapporterar webbsessionshändelsen. Detta är vanligtvis en mellanliggande enhet för HTTPSession händelser och målwebb- eller programservern för WebServerSession och ApiRequest händelser. |
Alla vanliga fält
Fält som visas i tabellen nedan är gemensamma för alla ASIM-scheman. Alla riktlinjer som anges ovan åsidosätter de allmänna riktlinjerna för fältet. Ett fält kan till exempel vara valfritt i allmänhet, men obligatoriskt för ett specifikt schema. Mer information om varje fält finns i artikeln vanliga ASIM-fält .
| Klass | Fält |
|---|---|
| Obligatorisk | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Rekommenderat | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valfritt | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
Nätverkssessionsfält
HTTP-sessioner är programnivåsessioner som använder TCP/IP som den underliggande nätverksnivåsessionen. Webbsessionsschemat är en superuppsättning asim-nätverkssessionsschema och alla fält för nätverksschema ingår också i webbsessionsschemat.
Följande ASIM-schemafält för nätverkssessioner har specifika riktlinjer när de används för en webbsessionshändelse:
- Aliasanvändaren bör referera till SrcUsername och inte till DstUsername.
- Fältet EventOriginalResultDetails kan innehålla alla resultat som rapporteras av källan utöver HTTP-statuskoden som lagras i EventResultDetails.
- För webbsessioner är det primära målfältet URL-fältet. DstDomain är valfritt i stället för rekommenderat. Mer specifikt, om det inte är tillgängligt, finns det inget behov av att extrahera den från URL:en i parsern.
- Fälten
NetworkRuleNameochNetworkRuleNumberbyt namnRuleNamerespektiveRuleNumber.
Webbsessionshändelser rapporteras ofta av mellanliggande enheter som avslutar HTTP-anslutningen från klienten och initierar en ny anslutning, som fungerar som proxy, med servern. Om du vill representera den mellanliggande enheten använder du asim-nätverkssessionsschemat mellanliggande enhetsfält
HTTP-sessionsfält
Följande är ytterligare fält som är specifika för webbsessioner:
| Fält | Klass | Typ | Beskrivning |
|---|---|---|---|
| Url | Obligatorisk | String | URL:en för HTTP-begäran, inklusive parametrar. För HTTPSession händelser kan URL:en innehålla schemat och inkludera servernamnet. För WebServerSession och för ApiRequest URL:en inkluderas vanligtvis inte schemat och servern, som finns i fälten respektive DstFQDN fältenNetworkApplicationProtocol. Exempel: https://contoso.com/fo/?k=v&q=u#f |
| UrlCategory | Valfritt | String | Den definierade gruppering av en URL eller domändelen av URL:en. Kategorin tillhandahålls ofta av webbsäkerhetsgatewayer och baseras på innehållet på webbplatsen som URL:en pekar på. Exempel: sökmotorer, vuxna, nyheter, annonsering och parkerade domäner. |
| UrlOriginal | Valfritt | String | Det ursprungliga värdet för URL:en, när URL:en ändrades av rapporteringsenheten och båda värdena anges. |
| HttpVersion | Valfritt | String | HTTP-begärandeversionen. Exempel: 2.0 |
| HttpRequestMethod | Rekommenderat | Enumerated | HTTP-metoden. Värdena är som definierade i RFC 7231 och RFC 5789 och inkluderar GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACEoch PATCH.Exempel: GET |
| HttpStatusCode | Alias | HTTP-statuskoden. Alias till EventResultDetails. | |
| HttpContentType | Valfritt | String | Innehållstypen HTTP-svarsrubrik. Obs! Fältet HttpContentType kan innehålla både innehållsformatet och extra parametrar, till exempel den kodning som används för att hämta det faktiska formatet. Exempel: text/html; charset=ISO-8859-4 |
| HttpContentFormat | Valfritt | String | Innehållsformatdelen i HttpContentType Exempel: text/html |
| HttpReferrer | Valfritt | String | HTTP-referensrubriken. Obs! ASIM, i synkronisering med OSSEM, använder rätt stavning för referenten och inte den ursprungliga HTTP-sidhuvudsstavningen. Exempel: https://developer.mozilla.org/docs |
| HttpUserAgent | Valfritt | String | HTTP-användaragentens huvud. Exempel: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, som Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| UserAgent | Alias | Alias till HttpUserAgent | |
| HttpRequestXff | Valfritt | IP-adress | HTTP X-Forwarded-For-huvudet. Exempel: 120.12.41.1 |
| HttpRequestTime | Valfritt | Integer | Hur lång tid det tog att skicka begäran till servern i millisekunder, om tillämpligt. Exempel: 700 |
| HttpResponseTime | Valfritt | Integer | Hur lång tid det tog att ta emot ett svar på servern i millisekunder, om tillämpligt. Exempel: 800 |
| HttpHost | Valfritt | String | Den virtuella webbserver som HTTP-begäran har riktats mot. Det här värdet baseras vanligtvis på HTTP-värdhuvudet. |
| Filnamn | Valfritt | String | För HTTP-uppladdningar, namnet på den uppladdade filen. |
| FileMD5 | Valfritt | MD5 | För HTTP-uppladdningar, MD5-hashen för den uppladdade filen. Exempel: 75a599802f1fa166cdadb360960b1dd0 |
| FileSHA1 | Valfritt | SHA1 | Sha1-hashen för den uppladdade filen för HTTP-uppladdningar. Exempel: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| FileSHA256 | Valfritt | SHA256 | Sha256-hashen för den uppladdade filen för HTTP-uppladdningar. Exempel: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| FileSHA512 | Valfritt | SHA512 | Sha512-hash för den uppladdade filen för HTTP-uppladdningar. |
| Hash | Alias | Alias till det tillgängliga Hash-fältet. | |
| FileHashType | Valfritt | Enumerated | Typen av hash i fältet Hash . Möjliga värden är: MD5, SHA1, SHA256och SHA512. |
| FileSize | Valfritt | Long | För HTTP-uppladdningar är storleken i byte för den uppladdade filen. |
| FileContentType | Valfritt | String | För HTTP-uppladdningar är innehållstypen för den uppladdade filen. |
Andra fält
Om händelsen rapporteras av en av slutpunkterna i webbsessionen kan den innehålla information om processen som initierade eller avslutade sessionen. I sådana fall kan ASIM-processhändelseschemat normalisera den här informationen.
Schemauppdateringar
Webbsessionsschemat förlitar sig på schemat för nätverkssession. Därför gäller schemauppdateringar för nätverkssessioner även för webbsessionsschemat.
Följande är ändringarna i version 0.2.5 av schemat:
- Fältet har lagts till
HttpHost.
Följande är ändringarna i version 0.2.6 av schemat:
- Typen av FileSize har ändrats från Heltal till Lång.
Nästa steg
Mer information finns i: