Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Verkkoistunnon normalisointirakennetta käytetään kuvaamaan IP-verkkotoimintoa. Esimerkiksi IP-verkkotoiminnot raportoidaan verkkopalvelimien, verkkovälityspalvelimien ja verkkosuojausyhdyskäytäviä käyttämällä.
Lisätietoja Microsoft Sentinel normalisoinnista on kohdassa Normalisointi ja ASIM (Advanced Security Information Model).
Rakenteen yleiskatsaus
Verkkoistunnon normalisointirakenne edustaa mitä tahansa HTTP-verkkoistuntoa, ja se soveltuu tarjoamaan tukea yleisille lähdetyypeille, kuten:
- WWW-palvelimet
- WWW-välityspalvelimet
- Verkkosuojausyhdyskäytävät
ASIM-verkkoistunnon rakenne edustaa HTTP- ja HTTPS-protokollatoimintoja. Koska rakenne edustaa protokollatoimintaa, siihen sovelletaan RFC-kutsuja ja virallisesti määritettyjä parametriluetteloita, joihin viitataan tässä artikkelissa tarvittaessa.
WWW-istunnon rakenne ei vastaa lähdelaitteiden valvontatapahtumia. Esimerkiksi web security gateway -käytäntöä muokkaavaa tapahtumaa ei voi esittää verkkoistunnon rakenteessa.
Koska HTTP-istunnot ovat sovelluskerrosistuntoja, jotka käyttävät TCP/IP:tä pohjana olevana verkkokerrosistuntona, verkkoistunnon rakenne on ASIM-verkkoistunnon rakenteen superjoukko.
WWW-istunnon rakenteen tärkeimmät kentät ovat seuraavat:
- URL-osoite, joka ilmoittaa asiakkaan palvelimelta pyytämän URL-osoitteen.
- SrcIpAddr (alias IpAddr), joka edustaa IP-osoitetta, josta pyyntö luotiin.
- EventResultDetails-kenttä , joka yleensä raportoi HTTP-tilakoodin.
VERKKO-istunnon tapahtumat voivat sisältää myös käyttäjän käyttäjä - ja prosessitietoja sekä pyynnön aloittamisen prosessin.
Jäsentimet
Lisätietoja ASIM-jäsennyksistä on ASIM-jäsennysten yleiskatsauksessa.
Jäsennysten yhtenäistäminen
Jos haluat käyttää jäsentimiä, jotka yhdistävät kaikki valmiit ASIM-jäsennykset, ja varmista, että analyysisi suoritetaan kaikissa määritetyissä lähteissä, käytä jäsennintä _Im_WebSession .
Käyttövalmiit lähdekohtaiset jäsennykset
Www-istuntojen jäsennysluettelon Microsoft Sentinel sisältää valmiita tietoja, katso ASIM-jäsennysluettelo
Omien normalisoitujen jäsennysten lisääminen
Kun toteutat verkko-istunnon tietomallin mukautettuja jäsennystoimintoja, anna KQL-funktioille nimeksi seuraava syntaksi:
-
vimWebSession<vendor><Product>parametrised parsers -parametrille -
ASimWebSession<vendor><Product>tavallisille jäsennyksille
Jäsennysparametrien suodattaminen
- im ja vim* -jäsentimet tukevat suodatusparametreja. Vaikka nämä jäsentimet ovat valinnaisia, ne voivat parantaa kyselyn suorituskykyä.
Seuraavat suodatusparametrit ovat käytettävissä:
| Nimi | Kirjoita | Kuvaus |
|---|---|---|
| aloitusaika | Datetime | Suodata vain www-istunnot, jotka alkoivat tällä hetkellä tai sen jälkeen. Tämä parametri suodattaa TimeGenerated kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä. |
| päättymisaika | Datetime | Suodata vain www-istunnot, jotka alkoivat olla käynnissä tähän aikaan tai sitä ennen. Tämä parametri suodattaa TimeGenerated kentän, joka on tapahtuman ajan vakiomäärittäjä riippumatta EventStartTime- ja EventEndTime-kenttien jäsennyskohtaisesta yhdistämisestä. |
| srcipaddr_has_any_prefix | Dynaaminen | Suodata vain WWW-istunnot, joiden lähde-IP-osoitekentän etuliite on jossakin luetelluista arvoista. Arvoluettelo voi sisältää IP-osoitteita ja IP-osoitteiden etuliitteitä. Etuliitteiden lopussa .tulee olla esimerkiksi : 10.0.. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| ipaddr_has_any_prefix | Dynaaminen | Suodata vain verkko-istunnot, joissa kohteen IP-osoitekentän tai lähteen IP-osoitekentän etuliite on jossakin luetelluista arvoista. Etuliitteiden lopussa .tulee olla esimerkiksi : 10.0.. Luettelon pituus on rajoitettu 10 000 kohteeseen.ASimMatchingIpAddr-kentälle on määritetty jokin arvoista SrcIpAddr, DstIpAddrtai Both vastaavien kenttien tai kenttien mukaisesti. |
| url_has_any | Dynaaminen | Suodata vain www-istunnot, joiden URL-kentässä on jokin luetelluista arvoista. Jäsennin voi ohittaa parametrina välitettyjen URL-osoitteiden rakenteen, jos lähde ei ilmoita siitä. Jos tämä on määritetty eikä istunto ole VERKKO-istunto, tuloksia ei palauteta. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| httpuseragent_has_any | Dynaaminen | Suodata vain verkko-istunnot, joissa käyttäjäagentin kentässä on jokin luetelluista arvoista. Jos tämä on määritetty eikä istunto ole VERKKO-istunto, tuloksia ei palauteta. Luettelon pituus on rajoitettu 10 000 kohteeseen. |
| eventresultdetails_in | Dynaaminen | Suodata vain verkko-istunnot, joiden EventResultDetails-kenttään tallennettu HTTP-tilakoodi on jokin luetelluista arvoista. |
| eventresult | Merkkijono | Suodata vain verkkoistunnot tietyllä EventResult-arvolla . |
Jotkin parametrit voivat hyväksyä sekä tyyppiarvojen dynamic luettelon että yksittäisen merkkijonoarvon. Jos haluat välittää literaaliluettelon parametreihin, jotka odottavat dynaamista arvoa, käytä eksplisiittisesti dynaamista literaalia. Esimerkiksi: dynamic(['192.168.','10.'])
Jos esimerkiksi haluat suodattaa vain verkko-istunnot määritetylle toimialuenimien luettelolle, käytä seuraavaa:
let torProxies=dynamic(["tor2web.org", "tor2web.com", "torlink.co"]);
_Im_WebSession (url_has_any = torProxies)
Rakenteen tiedot
Verkkoistunnon tietomalli on tasattu OSSEM-verkkoentiteettirakenteen ja OSSEM HTTP -entiteettirakenteen kanssa.
Täyttääkseen alan parhaat käytännöt verkkoistunnon rakenne käyttää kuvauksia Src ja Dst istunnon lähde- ja kohdelaitteiden tunnistamiseen sisällyttämättä tunnuksen Dvc :tä kentän nimeen.
Lähdelaitteen isäntänimi ja IP-osoite ovat siis nimeltään SrcHostname ja SrcIpAddr , ei SrcDvcHostname ja SrcDvcIpAddr. Etuliitettä Dvc käytetään soveltuvin osin vain raportointi- tai välilaitetta varten.
Lähde- ja kohdelaitteisiin liittyviä käyttäjää ja sovellusta kuvaavat kentät käyttävät myös Src - ja Dst-kuvauksia .
Muissa ASIM-rakenteissa käytetään yleensä TargetiaDst:n sijaan.
Yleiset ASIM-kentät
Tärkeää
Kaikille rakenteille yhteiset kentät on kuvattu yksityiskohtaisesti ASIM:n yleiset kentät - artikkelissa.
Yleiset kentät, joissa on tarkat ohjeet
Seuraavassa luettelossa mainitaan kentät, joissa on verkkoistuntotapahtumien erityiset ohjeet:
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Tapahtuman tyyppi | Pakollinen | Lueteltu | Kuvailee tietueen ilmoittaman toiminnon. Sallitut arvot ovat: - HTTPsession: Tarkoittaa HTTP:ssä tai HTTPS:ssä käytettävää verkkoistuntoa, jonka yleensä ilmoittaa välittäjälaite, kuten välityspalvelin tai verkkosuojausyhdyskäytävä.- WebServerSession: Tarkoittaa VERKKOpalvelimen ilmoittamaa HTTP-pyyntöä. Tällaisella tapahtumalla on yleensä vähemmän verkkoon liittyviä tietoja. Ilmoitetun URL-osoitteen ei tulisi sisältää rakennetta ja palvelimen nimeä, vaan vain URL-osoitteen polku ja parametrit. - ApiRequest: Tarkoittaa http-pyyntöä, joka on raportoitu liittyen ohjelmointirajapintakutsuun ja jonka sovelluspalvelin yleensä ilmoittaa. Tällaisella tapahtumalla on yleensä vähemmän verkkoon liittyviä tietoja. Kun sovelluspalvelin ilmoittaa, ilmoitetun URL-osoitteen ei tulisi sisältää rakennetta ja palvelimen nimeä, vaan vain URL-osoitteen polku ja parametrit. |
| Tapahtuman tulos | Pakollinen | Lueteltu | Kuvaa tapahtuman tuloksen normalisoituna johonkin seuraavista arvoista: - Success - Partial - Failure - NA (ei käytettävissä) HTTP-istunnossa määritetään tilakoodiksi, joka on pienempi kuin , ja Failure se on määritetty tilakoodiksi, Success joka on suurempi kuin 400.400 Http-tilakoodien luettelo on w3-organisaatiossa.Lähde voi antaa vain arvon EventResultDetails-kentälle , joka on analysoitava EventResult-arvon saamiseksi. |
| EventResultDetails | Suositellut | Lueteltu |
World Wide Web Consortiumin määrittämä HTTP-tilakoodi Huomautus: Arvo voidaan antaa lähdetietueessa käyttämällä eri termejä, jotka tulee normalisoida näihin arvoihin. Alkuperäinen arvo tulee tallentaa EventOriginalResultDetails-kenttään . |
| EventSchema | Pakollinen | Lueteltu | Tässä dokumentoitun rakenteen nimi on WebSession. |
| EventSchemaVersion | Pakollinen | SchemaVersion (merkkijono) | Rakenteen versio. Tässä dokumentoitu rakenteen versio on 0.2.7 |
| Dvc-kentät | Verkkoistunnon tapahtumissa laitekentät viittaavat verkkoistuntotapahtumaa raportoivan järjestelmän. Tämä on yleensä tapahtumien välilaite HTTPSession ja tapahtumien kohdeverkko tai sovelluspalvelin WebServerSessionApiRequest . |
Kaikki yleiset kentät
Alla olevassa taulukossa näkyvät kentät ovat yhteisiä kaikille ASIM-rakenteille. Kaikki edellä määritetyt ohjeet ohittavat kentän yleiset ohjeet. Kenttä voi olla esimerkiksi yleisesti valinnainen, mutta tietyn rakenteen pakollinen. Lisätietoja kustakin kentästä on ARTIKKELISSA ASIM:n yleiset kentät .
| Luokan | Kentät |
|---|---|
| Pakollinen |
-
Tapahtumien määrä - Tapahtuman alkamisaika - Tapahtuman aika - Tapahtuman tyyppi - Tapahtuman tulos - Tapahtuman tuote - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Suositellut |
-
EventResultDetails - Tapahtumankaltaisuus - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Valinnainen |
-
Tapahtuman viesti - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - Tapahtuman omistajan nimi - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - Lisäkentät - DvcDescription - DvcScopeId - DvcScope |
Verkkoistunnon kentät
HTTP-istunnot ovat sovelluskerrosistuntoja, jotka hyödyntävät TCP/IP:tä pohjana olevana verkkokerrosistuntona. Verkkoistunnon rakenne on ASIM-verkkoistunnon rakenteen superjoukko, ja kaikki verkkorakennekentät sisältyvät myös verkkoistunnon rakenteeseen.
Seuraavissa ASIM-verkkoistunnon rakennekentissä on tietyt ohjeet, kun niitä käytetään verkkoistunnon tapahtumassa:
- Alias käyttäjän tulee viitata SrcUsername-nimeen eikä DstUsernameen.
- EventOriginalResultDetails-kenttä voi sisältää minkä tahansa lähteen raportoiman tuloksen EventResultDetails-kohteeseen tallennetun HTTP-tilakoodin lisäksi.
- WWW-istunnoissa ensisijainen kohdekenttä on URL-kenttä. DstDomain on valinnainen eikä suositeltu. Tarkemmin sanottuna, jos se ei ole käytettävissä, sitä ei tarvitse poimia jäsentimen URL-osoitteesta.
- Kentät
NetworkRuleNamejaNetworkRuleNumbernimetäänRuleNameRuleNumberuudelleen.
Verkko-istunnon tapahtumista raportoivat yleensä välilaitteet, jotka lopettavat ASIAKKAAN HTTP-yhteyden ja käynnistävät uuden välityspalvelimena toimivan yhteyden palvelimeen. Jos haluat edustaa välilaitetta, käytä ASIM-verkkoistunnon rakenteenvälittäjälaitteen kenttiä
HTTP-istuntokentät
Seuraavassa on verkkoistuntoja koskevia lisäkenttiä:
| Kenttä | Luokan | Kirjoita | Kuvaus |
|---|---|---|---|
| Url | Pakollinen | URL -osoite (merkkijono) | HTTP-pyynnön URL-osoite, mukaan lukien parametrit.
HTTPSession Tapahtumille URL-osoite voi sisältää rakenteen, ja siinä on oltava palvelimen nimi.
WebServerSession
ApiRequest URL-osoitteen ja -osoitteen kohdalla ei yleensä ole rakennetta ja palvelinta, jotka löytyvät -ja DstFQDN -NetworkApplicationProtocolkentistä. Esimerkki https://contoso.com/fo/?k=v&q=u#f |
| Url-luokka | Valinnainen | Merkkijono | URL-osoitteen tai URL-osoitteen toimialueosan määritetty ryhmittely. Luokka on yleisesti verkon suojausyhdyskäytävien tarjoama, ja se perustuu sen sivuston sisältöön, johon URL-osoite osoittaa. Esimerkki: hakukoneet, aikuiset, uutiset, mainonta ja pysäköidyt toimialueet. |
| UrlOriginal | Valinnainen | URL -osoite (merkkijono) | URL-osoitteen alkuperäinen arvo, kun raportointilaite muokkasi URL-osoitetta ja molemmat arvot annetaan. |
| HttpVersion | Valinnainen | Merkkijono | HTTP-pyyntöversio. Esimerkki 2.0 |
| HttpRequestMethod | Suositellut | Lueteltu | HTTP-menetelmä. Arvot on määritelty standardissa RFC 7231 ja RFC 5789, ja ne sisältävät GET, , HEAD, POSTPUT, DELETE, CONNECT, OPTIONS, ja TRACEPATCH.Esimerkki GET |
| HttpStatusCode | Alias | HTTP-tilakoodi. EventResultDetails-tunnus. | |
| HttpContentType | Valinnainen | Merkkijono | HTTP-vastauksen sisältötyypin otsikko. Huomautus: HttpContentType-kenttä voi sisältää sekä sisältömuotoa että ylimääräisiä parametreja, kuten todellisen muodon saamisessa käytettävän koodauksen. Esimerkki text/html; charset=ISO-8859-4 |
| HttpContentFormat | Valinnainen | Merkkijono |
HttpContentType-kohteen sisältömuoto-osa Esimerkki text/html |
| HttpReferrer | Valinnainen | Merkkijono | HTTP-viittaajan otsikko. Huomautus: ASIM käyttää ossem-protokollan kanssa synkronoituna oikeaa oikeinkirjoitusta viitteenä alkuperäisen HTTP-otsikon oikeinkirjoituksen sijaan. Esimerkki https://developer.mozilla.org/docs |
| HttpUserAgent | Valinnainen | Merkkijono | HTTP-käyttäjäagentin otsikko. Esimerkki: Mozilla/5.0(Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, kuten Gecko)Chrome/83.0.4103.97 Safari/537.36 |
| UserAgent | Alias | HttpUserAgent-tunnus | |
| HttpRequestXff | Valinnainen | IP-osoite | HTTP X-Edelleenläbitetty-for-otsikko. Esimerkki 120.12.41.1 |
| HttpRequestTime | Valinnainen | Kokonaisluku | Aika millisekunteina, joka kesti pyynnön lähettämiseen palvelimeen, jos käytettävissä. Esimerkki 700 |
| HttpResponseTime | Valinnainen | Kokonaisluku | Aika millisekunteina, joka kesti vastauksen saamiseen palvelimessa, jos käytettävissä. Esimerkki 800 |
| HttpHost | Valinnainen | Merkkijono | HTTP-pyynnön kohteena oleva näennäisverkkopalvelin. Tämä arvo perustuu yleensä HTTP-isäntäotsikkoon. |
| Tiedostonimi | Valinnainen | Merkkijono | HTTP-latauksille ladatun tiedoston nimi. |
| FileMD5 | Valinnainen | MD5 | HTTP-latauksia varten ladatun tiedoston MD5-hajautusarvo. Esimerkki 75a599802f1fa166cdadb360960b1dd0 |
| TiedostonSHA1 | Valinnainen | SHA1 | HTTP-latauksia varten ladatun tiedoston SHA1-hajautusarvo. Esimerkki: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TiedostoSHA256 | Valinnainen | SHA256 | HTTP-latauksia varten ladatun tiedoston SHA256-hajautusarvo. Esimerkki: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TiedostoSHA512 | Valinnainen | SHA512 | HTTP-latauksia varten ladatun tiedoston SHA512-hajautusarvo. |
| Hash | Alias | Alias käytettävissä olevaan Hajautusarvo-kenttään. | |
| HashType | Ehdollinen | Lueteltu | Hajautusarvon tyyppi Hajautusarvo-kentässä. Mahdollisia arvoja ovat : MD5, SHA1, SHA256, ja SHA512. |
| Tiedostokoko | Valinnainen | Pitkä | HTTP-latauksia varten ladatun tiedoston koko tavuina. |
| FileContentType | Valinnainen | Merkkijono | HTTP-latauksille ladatun tiedoston sisältötyyppi. |
| HttpCookie | Valinnainen | Merkkijono | Asiakkaalta palvelimelle lähetetyn HTTP-evästeotsikon sisältö, joka sisältää istuntotietojen nimi-arvo-parit. Esimerkki session_id=abc123; user_pref=dark_mode |
| HttpIsProxied | Valinnainen | Totuusarvo | Ilmaisee, lähetettiinkö HTTP-pyyntö välityspalvelimen kautta. Esimerkki true |
| HttpRequestBodyBytes | Valinnainen | Pitkä | HTTP-pyynnön leipätekstin koko tavuina otsikoita sisällyttämättä. Esimerkki 1024 |
| HttpRequestCacheControl | Valinnainen | Merkkijono | HTTP-Cache-Control pyyntöotsikon sisältö, joka määrittää asiakkaan välimuistiin tallentamisen direktiivit. Esimerkki no-cache |
| HttpRequestHeaderCount | Valinnainen | Kokonaisluku | Pyyntöön sisältyvien HTTP-otsikoiden määrä. Esimerkki 12 |
| HttpResponseBodyBytes | Valinnainen | Pitkä | HTTP-vastauksen leipätekstin koko tavuina otsikoita sisällyttämättä. Esimerkki 8192 |
| HttpResponseCacheControl | Valinnainen | Merkkijono | HTTP-Cache-Control vastauksen otsikon sisältö, joka määrittää palvelimen välimuistiin tallentamisen ohjeet. Esimerkki max-age=3600, public |
| HttpResponseExpires | Valinnainen | Merkkijono | HTTP-vastausotsikon sisältö, joka ilmaisee, milloin vastauksen sisältö vanhenee. Esimerkki Thu, 01 Dec 2024 16:00:00 GMT |
| HttpResponseHeaderCount | Valinnainen | Kokonaisluku | Vastaukseen sisältyvien HTTP-otsikoiden määrä. Esimerkki 15 |
Muut kentät
Jos jokin verkkoistunnon päätepisteistä raportoi tapahtuman, se voi sisältää tietoja istunnon aloittaneesta tai päättyneestä prosessista. Tällaisissa tapauksissa ASIM-prosessitapahtuman rakenne normalisoida nämä tiedot.
Rakennepäivitykset
Verkkoistunnon rakenne on riippuvainen verkkoistunnon rakenteesta. Siksi verkkoistunnon rakennepäivitykset koskevat myös verkkoistunnon rakennetta.
Seuraavat muutokset ovat rakenteen versiossa 0.2.5:
- Lisätty kenttä
HttpHost.
Rakenteen versiossa 0.2.6 näkyvät seuraavat muutokset:
- FileSize-tyyppi muutettiin kokonaisluvusta pitkäksi.
Seuraavat muutokset ovat rakenteen versiossa 0.2.7:
- Lisätty kentät
HttpCookie, ,HttpIsProxied,HttpRequestBodyBytesHttpRequestCacheControl,HttpRequestHeaderCount, ,HttpResponseBodyBytes,HttpResponseCacheControl, ,HttpResponseExpiresjaHttpResponseHeaderCount.
Seuraavat vaiheet
Lisätietoja on seuraavissa artikkeleissa: