收集的数据
tCell从应用程序收集各种运行时信息。收集的数据有两种类型,事件和指标。事件表示离散的事件或信息片段。度量表示不同事件的基于时间的计数。
消毒
所有数据在异步发送到tCell服务之前都会通过一个清理过滤器。未首先通过此清理过程,任何数据都不会离开应用程序代理。清理步骤旨在防止私有数据离开网络。
卫生处理步骤包括:
会话ID(sid):会话令牌使用可选私钥(hmac_密钥)进行单向散列,以形成传输的sid。这使tCell可以在不了解会话本身的情况下关联来自同一用户会话的多个事件。
密码id (passwordId):对于支持密码行为跟踪的代理,登录事件的密码使用可选私钥(password_hmac_key)、tcell应用程序id和用户名进行单向散列,然后使用一小部分散列结果。最终的结果是,tCell服务可以确定一个ip地址是在尝试各种密码或用户名,还是在重复尝试相同的密码或用户名。因此,一个配置错误的自动代理总是尝试相同的用户名和密码,不会被标记为帐户接管攻击。但是,由于收集到的散列部分有限,因此试图猜测实际密码时,数据是没有用的,特别是在使用私钥时。
事务id (tid):为不使用客户或用户标识数据的事务id生成uuid。URI清理:通过剥离参数值对所有URI进行清理。例如,引用URL http://localhost:8080/WebGoat/login.mvc?error=SomeErrorHere&test=SomeValue将被清理为http://localhost:8080/WebGoat/login.mvc?error=&test=
违规有效负载数据
违反有效载荷选项在策略>应用程序防火墙在Monitor选项卡中确定tCell发送违规负载数据的位置。
的发送有效负载数据到tCell选项指示tCell向tCell云发送包含事件数据的完整有效载荷。有效载荷可帮助您更好地了解对应用程序的攻击性质。
但是,有效载荷可能包含个人识别信息(PII)如果显示,可能会违反您的GDPR或其他合规协议。如果您不希望将有效负载发送到tCell云,请禁用该选项。如果禁用,所有tCell功能将继续工作。此功能将应用于请求中的表单参数和查询参数(包括标头、正文和URL)。
的日志负载数据本地选项将有效负载数据记录到本地日志(tcell.log)。如果选中,则排除发送有效负载参数表仍将被清理。因此这些值将不会发送到本地日志。
这些选项仅适用于发送有效负载数据(“有效负载”是事件的一个字段)。启用或禁用任一选项后,所有其他tCell事件数据仍将被发送到云和本地日志。
事件
server_agent_details
- 保护类别:服务器详细信息
- 启动:应用服务器启动
- 字段
- 用户:服务器进程运行的用户帐号
- 用户组:将运行的服务器进程分组为
- 样品1{“event_type”:“server_agent_details”,2“组”:“1000”,3.“用户”:“userx”}
server_agent_packages
- 保护类别:服务器详细信息
- 启动:类加载/应用程序初始化
- 字段
- n:包裹名称
- v:包的版本
- l:许可证类型
- 样品1{“event_type”:“server_agent_packages”,2“包”:(3.{“v”:“0.0.4”,4“n”:“tcell代理”},5{"v": "1.0.4", "n": "enum34"}
appserver\u路由
- 保护类别:App Sensor
- 启动:路由注册/应用程序初始化
- 字段
- uri:uri,带有:变量占位符
- 方法: GET, POST等或*为任何
- 掉:t小区路由id。路由和方法的哈希
- 目的地:请求被路由到哪里的描述,例如,在每个框架的基础上定义的控制器、函数的名称等
- 样品1{“事件类型”:“应用服务器路由”,2“uri”:“/ user /: id /地址”,3.“方法”:“*”rid:1396482959514716287,4“目的地”:“com.customer123.controllers.UserAddress”}
应用程序配置设置
保护类别:应用配置审计
启动:应用程序初始化
字段
- 部分:“服务”或“连接器”
- 前缀服务\引擎\主机\上下文或服务\连接器
- 名称:字段名
- 价值:字段值
- 包:服务器类型(Tomcat等)
样品
1{“事件类型”:“应用程序配置设置”,2“部分”:“上下文”,3.“前缀”:“Tomcat \ nTomcat \ nlocalhost \ n / WebGoat”,4“名称”:“超时”,5“值”:“2880”,6“包”:“Tomcat”}
重新使用
- 保护类别:打开重定向
- 启动:带有3xx响应代码的Http响应
- 字段
- remote_addr:用户的远程IP地址
- 方法: GET、POST等
- 到:目标重定向域违反了策略
- from_domain:域用户启动(主机)
- 从:执行重定向的经过净化的URI
- sid:会话id的HMAC
- 掉:t小区路由id
- 样品1{“event_type”:“定向”,2“方法”:“获取”,3.“远程地址”:“10.0.2.2”,4“status_code”:303年,5“”:“domain.com”,6“from_domain”:“当前域”,7“来自”:“路径重定向来自”,8“sid”:“cb38d7630b38d7630b38d7630”}
作为
- 保护类别:App Sensor
- 启动:可疑HTTP请求或响应负载
- 字段
- dp:测点名称,如xss, sqli等。
- param:带有可疑负载的参数名称
- uid:启用登录且用户身份验证的用户ID
- loc:清除URI路径
- 捐:会话ID的HMAC
- 数据:参数类型(头、查询等)
- 柔:t小区路由ID
- 米: HTTP方法
- remote_addr:客户端的IP地址
- 样品1{“event_type”:“作为”,2:“dp xss”,3.“cnt”:1,4“uid”:“james”,5“sid”:“sessionhash”,6“疯狂的”:“位置/ url”,7“rou”:“3243232”,8“m”:“get”,9“数据”:{“fp”:“s \ u0026sos "},10“远程地址”:“3.3.3.3”}
发现
- 保护类别:数据暴露
- 启动:首次访问任何数据源(数据库表、RESTAPI等)
- 字段
- 类型:数据库、REST API等。
- db:数据库名称
- 模式:数据库模式名
- 表格:数据库表名
- 领域:访问的名称字段
- 掉: tCell route_id
- uid: user_id如果已知
- 问:查询类型
- 样品1{“event_type”:“发现”,2“类型”:“数据库”,3.“rid”:“2323224”,4“uid”:bob@bob.com",5“q”:“选择”,6“分贝”:“复述:4334”,7“模式”:“asfdasf”,8“表”:“用户”,9“字段”:“ssn”、“first_name”,10“字段”:“场”}
登录
- 保护类别:登录欺诈
- 启动:用户登录
- 字段
- event_name:登录失败,登录成功
- user_agent:HTTP头
- 介绍人:HTTP头
- remote_addr:远程地址
- 标题键:HTTP标头名称,如果可能,按顺序排列
- user_id:尝试登录的用户
- 密码:尝试的密码hmac
- document_uri: uri
- 会话: sessionid的HMAC
- 用户\u有效:null、true、false
- 样品1{“事件类型”:“登录”,2:“event_name login-success”,3.“user_agent”:“Mozilla / 5.0……”4“推荐人”:http://localhost:3085/users/sign_in",5“远程地址”:“10.0.2.2”,6“头密钥”:[“版本”、“主机”、“连接”、“缓存控制”、“COOKIE”],7“用户id”:“1”,8“密码id”:“98ea6e4f”,9:“document_uri /用户/ sign_in”,10“会话”:“e9e80cd52ad521ddb9090ac9ac”,11“user_valid”:真正的}
指标
个随机对照试验
- 描述:路由计数表
- 领域:
- c总要求:
- mx:最大请求时间(毫秒)
- 锰:最小请求时间(毫秒)
- t:平均请求时间(毫秒)
- 样品1{“事件类型”:“度量”,2“rct”:{3." 98246921 ": {4“c”:3,5“mx”:446,6“锰”:68年,7“t”:3188},9"?": {10“c”:4,11“mx”:9,12“锰”:513“t”:714}15}
会议
- 描述:已验证用户的每会话度量
- 字段
- ua:用户代理的字典,其价值是它们来自的ip
- uid:该会话的用户ID
- 样品1{“事件类型”:“度量”,2“会话”:{3.“hmac_of_session_id_x”:[4{5“uid”:“user_x”,6“跟踪”:(7[8"Mozilla/5.0 User Agent V1.03",9[10“1.1.1.1”,111.1.2.2”12]13]14]15}16],17“hmac_of_session_id_y”:(18{“uid”:“用户”,19“跟踪”:(20[21"Mozilla/3.0 User Agent V1.03",22[231.1.3.1”24],25"Chrome 30用户代理",[26"1.101.3.4"]27]28]29}30]31}