收集的数据

tCell从应用程序收集各种运行时信息。收集的数据有两种类型,事件和指标。事件表示离散的事件或信息片段。度量表示不同事件的基于时间的计数。

消毒

在异步发送到TCELL服务之前,所有数据都会通过Sunitization滤波器。没有第一次通过此消毒过程,没有数据离开应用程序代理。Sanitization步骤旨在防止私有数据离开您的网络。

卫生处理步骤包括:

会话ID(SID):会话令牌是单向散列,可选的私钥(HMAC_KEY)以形成传输的SID。这使TCell在同一用户会话中关联多个事件,而不知道会话本身的任何内容。

密码id (passwordId):对于支持密码行为跟踪的代理,登录事件的密码使用可选私钥(password_hmac_key)、tcell应用程序id和用户名进行单向散列,然后使用一小部分散列结果。最终的结果是,tCell服务可以确定一个ip地址是在尝试各种密码或用户名,还是在重复尝试相同的密码或用户名。因此,一个配置错误的自动代理总是尝试相同的用户名和密码,不会被标记为帐户接管攻击。但是,由于收集到的散列部分有限,因此试图猜测实际密码时,数据是没有用的,特别是在使用私钥时。

事务id (tid):为不使用客户或用户标识数据的事务id生成uuid。URI清理:通过剥离参数值对所有URI进行清理。例如,引用URL http://localhost:8080/WebGoat/login.mvc?error=SomeErrorHere&test=SomeValue将被清理为http://localhost:8080/WebGoat/login.mvc?error=&test=

违规有效载荷数据

违反有效载荷选项在策略>应用程序防火墙在Monitor选项卡中确定tCell发送违规负载数据的位置。

发送有效负载数据到tCell选项指示TCell将事件数据发送到TCell云的完整有效载荷。有效载荷可以帮助您更好地了解对应用程序攻击的性质。

但是,有效载荷可能包含个人可识别的信息(PII),如果显示,则可以违反GDPR或其他合规协议。如果您不想将有效载荷发送到TCell云,请禁用该选项。如果禁用,所有TCELL功能都将继续工作。此功能将应用于请求中的参数和查询参数(包括标题,正文和URL)。

日志负载数据本地选项将有效负载数据记录到本地日志(tcell.log)。如果选中,则排除发送有效负载参数表仍将消毒。因此,这些值不会被发送到本地日志。

这些选项仅适用于发送有效负载数据(“有效负载”是事件的一个字段)。启用或禁用任一选项后,所有其他tCell事件数据仍将被发送到云和本地日志。

事件

server_agent_details

  • 保护类别:服务器详细信息
  • 启动:应用服务器启动
  • 字段
    • 用户:服务器进程运行的用户帐号
    • 用户组:将运行的服务器进程分组为
  • 样本
               
    1
    {“event_type”:“server_agent_details”,
    2
    “小组”:“1000”,
    3.
    “用户”:“UserX”}

server_agent_packages

  • 保护类别:服务器详细信息
  • 启动:Class Loaded / App Initialization
  • 字段
    • n:包名称
    • v:包的版本
    • l:许可类型
  • 样本
               
    1
    {“event_type”:“server_agent_packages”,
    2
    “包”:(
    3.
    {“V”:“0.0.4”,
    4
    “n”:“Tcell-Agent”},
    5
    {"v": "1.0.4", "n": "enum34"}

appserver_routes.

  • 保护类别:App Sensor
  • 启动:路由注册/应用初始化
  • 字段
    • uri:URI与:变量占位符
    • 方法: GET, POST等或*为任何
    • :TCell Route ID。路线和方法的哈希
    • 目的地:请求被路由到哪里的描述,例如,在每个框架的基础上定义的控制器、函数的名称等
  • 样本
               
    1
    {“event_type”:“appserver_routes”,
    2
    “uri”:“/ user /: id /地址”,
    3.
    “方法”:“*”“摆脱”:1396482959514716287,
    4
    “目的地”:“com.customer123.controllers.UserAddress”}

app_config_setting.

  • 保护类别:应用配置审计

  • 启动:应用程序初始化

  • 字段

    • 部分:“服务”或“连接器”
    • 字首服务\引擎\主机\上下文或服务\连接器
    • 姓名:字段名
    • 价值:字段值
    • :服务器类型(Tomcat等)
  • 样本

               
    1
    {“event_type”:“app_config_setting”,
    2
    “部分”:“上下文”,
    3.
    “前缀”:“Tomcat \ nTomcat \ nlocalhost \ n / WebGoat”,
    4
    “名称”:“超时”,
    5
    “价值”:“2880”,
    6
    “包装”:“Tomcat”}

重定向

  • 保护类别:打开重定向
  • 启动:使用3xx响应代码的HTTP响应
  • 字段
    • remote_addr:用户的远程IP地址
    • 方法: GET、POST等
    • :目标重定向域违反了策略
    • from_domain:域用户启动(主机)
    • :执行重定向的经过净化的URI
    • sid:会话id的HMAC
    • :TCell Route ID
  • 样本
               
    1
    {“event_type”:“定向”,
    2
    “方法”:“得到”,
    3.
    “remote_addr”:“10.0.2.2”,
    4
    “status_code”:303年,
    5
    “”:“domain.com”,
    6
    “from_domain”:“当前域”,
    7
    “来自”:“路径重定向来自”,
    8
    “SID”:“CB38D7630B38D7630B38D7630”}

作为

  • 保护类别:App Sensor
  • 启动:可疑HTTP请求或响应有效载荷
  • 字段
    • dp:测点名称,如xss, sqli等。
    • 帕纳:参数名称具有可疑有效负载
    • uid:启用登录且用户身份验证的用户ID
    • 座垫:消毒URI路径
    • :会话ID的HMAC
    • 数据:参数类型(头、查询等)
    • :TCell Route ID
    • : HTTP方法
    • remote_addr:客户的IP地址
  • 样本
               
    1
    {“event_type”:“作为”,
    2
    :“dp xss”,
    3.
    “CNT”:1,
    4
    “UID”:“詹姆斯”,
    5
    “sid”:“sessienhash”,
    6
    “疯狂的”:“位置/ url”,
    7
    “rou”:“32432432”,
    8
    “m”:“得到”,
    9
    “数据”:{“fp”:“s \ u0026sos "},
    10.
    “remote_addr”:“3.3.3.3”}

发现

  • 保护类别:数据曝光
  • 启动:首次访问任何数据源(数据库表,REST API等)
  • 字段
    • 类型:数据库、REST API等。
    • db:数据库名称
    • 模式:数据库模式名
    • 表格:数据库表名
    • 领域:访问名称字段
    • : tCell route_id
    • uid: user_id如果已知
    • :查询类型
  • 样本
               
    1
    {“event_type”:“发现”,
    2
    “类型”:“数据库”,
    3.
    “摆脱”:“2323224”,
    4
    “uid”:“bob@bob.com”,
    5
    “q”:“选择”,
    6
    “分贝”:“复述:4334”,
    7
    “架构”:“ASFDASF”,
    8
    “表”:“用户”,
    9
    “字段”:“ssn”、“first_name”,
    10.
    “字段”:“场”}

登录

  • 保护类别:登录欺诈
  • 启动:用户登录
  • 字段
    • event_name:登录失败,登录 - 成功
    • user_agent:http标题
    • 介绍人:http标题
    • remote_addr:远程地址
    • header_keys.:如果可能的话,HTTP标头名称
    • user_id:试图登录的用户
    • password_id.:尝试的密码hmac
    • document_uri: uri
    • 会话: sessionid的HMAC
    • user_valid.:null,true,false
  • 样本
               
    1
    {“event_type”:“登录”,
    2
    :“event_name login-success”,
    3.
    “user_agent”:“Mozilla / 5.0……”
    4
    “推荐人”:“http:// localhost:3085 / Users / sign_in”,
    5
    “remote_addr”:“10.0.2.2”,
    6
    “header_keys”:[“版本”,“主机”,“连接”,“cache_control”,“cookie”,
    7
    “user_id”:“1”,
    8
    “password_id”:“98ea6e4f”,
    9
    :“document_uri /用户/ sign_in”,
    10.
    “会话”:“e9e80cd52ad521ddb9090ac9ac”,
    11.
    “user_valid”:真正的}

指标

个随机对照试验

  • 描述:路由计数表
  • 字段:
    • c总要求:
    • MX.:最大请求时间(MS)
    • m:最小请求时间(毫秒)
    • t:平均请求时间(MS)
  • 样本
               
    1
    {“event_type”:“度量标准”,
    2
    “rct”:{
    3.
    " 98246921 ": {
    4
    “C”:3,
    5
    “mx”:446,
    6
    “锰”:68年,
    7
    “t”:318
    8
    },
    9
    "?": {
    10.
    “c”:4,
    11.
    “mx”:9,
    12.
    “锰”:5
    13.
    “t”:7
    14.
    15.

会话

  • 描述:每个会话指标用于经过身份验证的用户
  • 字段
    • ua:用户代理的字典,其价值是它们来自的ip
    • uid:该会话的用户ID
  • 样本
               
    1
    {“event_type”:“度量标准”,
    2
    “会话”:{
    3.
    “hmac_of_session_id_x”:[
    4
    5
    “uid”:“user_x”,
    6
    “跟踪”:(
    7
    8
    "Mozilla/5.0 User Agent V1.03",
    9
    10.
    “1.1.1.1”,
    11.
    1.1.2.2”
    12.
    13.
    14.
    15.
    16.
    ],
    17.
    “hmac_of_session_id_y”:(
    18.
    {“UID”:“User_y”,
    19.
    “跟踪”:(
    20.
    21.
    "Mozilla/3.0 User Agent V1.03",
    22.
    23.
    1.1.3.1”
    24.
    ],
    25.
    "Chrome 30用户代理",[
    26.
    “1.101.3.4”]
    27.
    28.
    29.
    30.
    31.