收集的数据
tCell从应用程序收集各种运行时信息。收集的数据有两种类型,事件和指标。事件表示离散的事件或信息片段。度量表示不同事件的基于时间的计数。
消毒
在异步发送到TCELL服务之前,所有数据都会通过Sunitization滤波器。没有第一次通过此消毒过程,没有数据离开应用程序代理。Sanitization步骤旨在防止私有数据离开您的网络。
卫生处理步骤包括:
会话ID(SID):会话令牌是单向散列,可选的私钥(HMAC_KEY)以形成传输的SID。这使TCell在同一用户会话中关联多个事件,而不知道会话本身的任何内容。
密码id (passwordId):对于支持密码行为跟踪的代理,登录事件的密码使用可选私钥(password_hmac_key)、tcell应用程序id和用户名进行单向散列,然后使用一小部分散列结果。最终的结果是,tCell服务可以确定一个ip地址是在尝试各种密码或用户名,还是在重复尝试相同的密码或用户名。因此,一个配置错误的自动代理总是尝试相同的用户名和密码,不会被标记为帐户接管攻击。但是,由于收集到的散列部分有限,因此试图猜测实际密码时,数据是没有用的,特别是在使用私钥时。
事务id (tid):为不使用客户或用户标识数据的事务id生成uuid。URI清理:通过剥离参数值对所有URI进行清理。例如,引用URL http://localhost:8080/WebGoat/login.mvc?error=SomeErrorHere&test=SomeValue将被清理为http://localhost:8080/WebGoat/login.mvc?error=&test=
违规有效载荷数据
违反有效载荷选项在策略>应用程序防火墙在Monitor选项卡中确定tCell发送违规负载数据的位置。
的发送有效负载数据到tCell选项指示TCell将事件数据发送到TCell云的完整有效载荷。有效载荷可以帮助您更好地了解对应用程序攻击的性质。
但是,有效载荷可能包含个人可识别的信息(PII),如果显示,则可以违反GDPR或其他合规协议。如果您不想将有效载荷发送到TCell云,请禁用该选项。如果禁用,所有TCELL功能都将继续工作。此功能将应用于请求中的参数和查询参数(包括标题,正文和URL)。
的日志负载数据本地选项将有效负载数据记录到本地日志(tcell.log)。如果选中,则排除发送有效负载参数表仍将消毒。因此,这些值不会被发送到本地日志。
这些选项仅适用于发送有效负载数据(“有效负载”是事件的一个字段)。启用或禁用任一选项后,所有其他tCell事件数据仍将被发送到云和本地日志。
事件
server_agent_details
- 保护类别:服务器详细信息
- 启动:应用服务器启动
- 字段
- 用户:服务器进程运行的用户帐号
- 用户组:将运行的服务器进程分组为
- 样本1{“event_type”:“server_agent_details”,2“小组”:“1000”,3.“用户”:“UserX”}
server_agent_packages
- 保护类别:服务器详细信息
- 启动:Class Loaded / App Initialization
- 字段
- n:包名称
- v:包的版本
- l:许可类型
- 样本1{“event_type”:“server_agent_packages”,2“包”:(3.{“V”:“0.0.4”,4“n”:“Tcell-Agent”},5{"v": "1.0.4", "n": "enum34"}
appserver_routes.
- 保护类别:App Sensor
- 启动:路由注册/应用初始化
- 字段
- uri:URI与:变量占位符
- 方法: GET, POST等或*为任何
- 掉:TCell Route ID。路线和方法的哈希
- 目的地:请求被路由到哪里的描述,例如,在每个框架的基础上定义的控制器、函数的名称等
- 样本1{“event_type”:“appserver_routes”,2“uri”:“/ user /: id /地址”,3.“方法”:“*”“摆脱”:1396482959514716287,4“目的地”:“com.customer123.controllers.UserAddress”}
app_config_setting.
保护类别:应用配置审计
启动:应用程序初始化
字段
- 部分:“服务”或“连接器”
- 字首服务\引擎\主机\上下文或服务\连接器
- 姓名:字段名
- 价值:字段值
- 包:服务器类型(Tomcat等)
样本
1{“event_type”:“app_config_setting”,2“部分”:“上下文”,3.“前缀”:“Tomcat \ nTomcat \ nlocalhost \ n / WebGoat”,4“名称”:“超时”,5“价值”:“2880”,6“包装”:“Tomcat”}
重定向
- 保护类别:打开重定向
- 启动:使用3xx响应代码的HTTP响应
- 字段
- remote_addr:用户的远程IP地址
- 方法: GET、POST等
- 到:目标重定向域违反了策略
- from_domain:域用户启动(主机)
- 从:执行重定向的经过净化的URI
- sid:会话id的HMAC
- 掉:TCell Route ID
- 样本1{“event_type”:“定向”,2“方法”:“得到”,3.“remote_addr”:“10.0.2.2”,4“status_code”:303年,5“”:“domain.com”,6“from_domain”:“当前域”,7“来自”:“路径重定向来自”,8“SID”:“CB38D7630B38D7630B38D7630”}
作为
- 保护类别:App Sensor
- 启动:可疑HTTP请求或响应有效载荷
- 字段
- dp:测点名称,如xss, sqli等。
- 帕纳:参数名称具有可疑有效负载
- uid:启用登录且用户身份验证的用户ID
- 座垫:消毒URI路径
- 捐:会话ID的HMAC
- 数据:参数类型(头、查询等)
- 鲁:TCell Route ID
- 米: HTTP方法
- remote_addr:客户的IP地址
- 样本1{“event_type”:“作为”,2:“dp xss”,3.“CNT”:1,4“UID”:“詹姆斯”,5“sid”:“sessienhash”,6“疯狂的”:“位置/ url”,7“rou”:“32432432”,8“m”:“得到”,9“数据”:{“fp”:“s \ u0026sos "},10.“remote_addr”:“3.3.3.3”}
发现
- 保护类别:数据曝光
- 启动:首次访问任何数据源(数据库表,REST API等)
- 字段
- 类型:数据库、REST API等。
- db:数据库名称
- 模式:数据库模式名
- 表格:数据库表名
- 领域:访问名称字段
- 掉: tCell route_id
- uid: user_id如果已知
- 问:查询类型
- 样本1{“event_type”:“发现”,2“类型”:“数据库”,3.“摆脱”:“2323224”,4“uid”:“bob@bob.com”,5“q”:“选择”,6“分贝”:“复述:4334”,7“架构”:“ASFDASF”,8“表”:“用户”,9“字段”:“ssn”、“first_name”,10.“字段”:“场”}
登录
- 保护类别:登录欺诈
- 启动:用户登录
- 字段
- event_name:登录失败,登录 - 成功
- user_agent:http标题
- 介绍人:http标题
- remote_addr:远程地址
- header_keys.:如果可能的话,HTTP标头名称
- user_id:试图登录的用户
- password_id.:尝试的密码hmac
- document_uri: uri
- 会话: sessionid的HMAC
- user_valid.:null,true,false
- 样本1{“event_type”:“登录”,2:“event_name login-success”,3.“user_agent”:“Mozilla / 5.0……”4“推荐人”:“http:// localhost:3085 / Users / sign_in”,5“remote_addr”:“10.0.2.2”,6“header_keys”:[“版本”,“主机”,“连接”,“cache_control”,“cookie”,7“user_id”:“1”,8“password_id”:“98ea6e4f”,9:“document_uri /用户/ sign_in”,10.“会话”:“e9e80cd52ad521ddb9090ac9ac”,11.“user_valid”:真正的}
指标
个随机对照试验
- 描述:路由计数表
- 字段:
- c总要求:
- MX.:最大请求时间(MS)
- m:最小请求时间(毫秒)
- t:平均请求时间(MS)
- 样本1{“event_type”:“度量标准”,2“rct”:{3." 98246921 ": {4“C”:3,5“mx”:446,6“锰”:68年,7“t”:3188},9"?": {10.“c”:4,11.“mx”:9,12.“锰”:513.“t”:714.}15.}
会话
- 描述:每个会话指标用于经过身份验证的用户
- 字段
- ua:用户代理的字典,其价值是它们来自的ip
- uid:该会话的用户ID
- 样本1{“event_type”:“度量标准”,2“会话”:{3.“hmac_of_session_id_x”:[4{5“uid”:“user_x”,6“跟踪”:(7[8"Mozilla/5.0 User Agent V1.03",9[10.“1.1.1.1”,11.1.1.2.2”12.]13.]14.]15.}16.],17.“hmac_of_session_id_y”:(18.{“UID”:“User_y”,19.“跟踪”:(20.[21."Mozilla/3.0 User Agent V1.03",22.[23.1.1.3.1”24.],25."Chrome 30用户代理",[26.“1.101.3.4”]27.]28.]29.}30.]31.}