收集的数据
tCell从应用程序收集各种运行时信息。收集的数据有两种类型,事件和指标。事件表示离散的事件或信息片段。度量表示不同事件的基于时间的计数。
卫生处理
所有数据在异步发送到tCell服务之前都要经过一个杀毒过滤器。没有经过这个消毒过程的数据是不会离开应用程序代理的。消毒步骤旨在防止私人数据离开您的网络。
卫生处理步骤包括:
会话id (sid)会话令牌是带有可选私钥(hmac_key)的单向散列,以形成传输的sid。这使得tCell可以关联来自同一用户会话的多个事件,而不需要了解会话本身。
密码id (passwordId):对于支持密码行为跟踪的代理,登录事件的密码使用可选私钥(password_hmac_key)、tcell应用程序id和用户名进行单向散列,然后使用一小部分散列结果。最终的结果是,tCell服务可以确定一个ip地址是在尝试各种密码或用户名,还是在重复尝试相同的密码或用户名。因此,一个配置错误的自动代理总是尝试相同的用户名和密码,不会被标记为帐户接管攻击。但是,由于收集到的散列部分有限,因此试图猜测实际密码时,数据是没有用的,特别是在使用私钥时。
事务id (tid):为不使用客户或用户标识数据的事务id生成uuid。URI清理:通过剥离参数值对所有URI进行清理。例如,引用URL http://localhost:8080/WebGoat/login.mvc?error=SomeErrorHere&test=SomeValue将被清理为http://localhost:8080/WebGoat/login.mvc?error=&test=
违反有效数据
违反有效载荷选项在策略>应用防火墙在Monitor选项卡中确定tCell发送违规负载数据的位置。
的发送有效负载数据到tCell选项指示tCell将带有事件数据的完整有效负载发送到tCell云。有效负载可以帮助您更好地理解对应用程序的攻击的性质。
然而,有效负载可能包含个人身份信息(PII),如果显示,可能会违反您的GDPR或其他遵从协议。如果您不希望将有效负载发送到tCell云,请禁用该选项。如果禁用,所有的tCell功能将继续工作。该特性将应用于请求中的表单参数和查询参数(包括头、正文和URL)。
的日志负载数据本地选项将有效负载数据记录到本地日志(tcell.log)。如果选中,则排除发送有效负载参数桌子仍然会被消毒。因此,这些值不会被发送到本地日志。
这些选项仅适用于发送有效负载数据(“有效负载”是事件的一个字段)。启用或禁用任一选项后,所有其他tCell事件数据仍将被发送到云和本地日志。
事件
server_agent_details
- 保护类别:服务器详细信息
- 启动:应用服务器启动
- 字段
- 用户:服务器进程运行的用户帐号
- 用户组:将运行的服务器进程分组为
- 样本1{“event_type”:“server_agent_details”,2“集团”:“1000”,3.“用户”:“userx”}
server_agent_packages
- 保护类别:服务器详细信息
- 启动:类加载/应用程序初始化
- 字段
- n:包装名称
- v:包的版本
- l:许可证类型
- 样本1{“event_type”:“server_agent_packages”,2“包”:(3.{“v”:“0.0.4”,4“n”:“tcell-agent”},5{"v": "1.0.4", "n": "enum34"}
appserver_routes
- 保护类别:App Sensor
- 启动:路由注册/应用初始化
- 字段
- uri用:占位符表示变量
- 方法: GET, POST等或*为任何
- 掉: tCell路由id。route&method的哈希值
- 目的地:请求被路由到哪里的描述,例如,在每个框架的基础上定义的控制器、函数的名称等
- 样本1{“event_type”:“appserver_routes”,2“uri”:“/ user /: id /地址”,3.“方法”:“*”“摆脱”:1396482959514716287,4“目的地”:“com.customer123.controllers.UserAddress”}
app_config_setting
保护类别:应用配置审计
启动:应用程序初始化
字段
- 部分:“服务”或“连接器”
- 前缀服务\引擎\主机\上下文或服务\连接器
- 的名字:字段名
- 价值:字段值
- 包:服务器类型(Tomcat等)
样本
1{“event_type”:“app_config_setting”,2“节”:“上下文”,3.“前缀”:“Tomcat \ nTomcat \ nlocalhost \ n / WebGoat”,4“名称”:“超时”,5“价值”:“2880”,6“包”:“Tomcat”}
重定向
- 保护类别:打开重定向
- 启动:带有3xx响应代码的Http响应
- 字段
- remote_addr:用户的远程IP地址
- 方法: GET、POST等
- 来:目标重定向域违反了策略
- from_domain:域用户启动(主机)
- 从:执行重定向的经过净化的URI
- sid:会话id的HMAC
- 掉: tCell路由id
- 样本1{“event_type”:“定向”,2“法”:“获得”,3.:“remote_addr 10.0.2.2”,4“status_code”:303年,5“”:“domain.com”,6“from_domain”:“当前域”,7"from":"path redirect came from",8“席德”:“cb38d7630b38d7630b38d7630”}
作为
- 保护类别:App Sensor
- 启动:可疑的HTTP请求或响应负载
- 字段
- dp:测点名称,如xss, sqli等。
- 参数:带有可疑负载的参数名称
- uid:启用登录且用户身份验证的用户ID
- 疯狂的:已消毒的URI路径
- 捐:会话ID的HMAC
- 数据:参数类型(头、查询等)
- 肾阳: tCell路由ID
- 米: HTTP方法
- remote_addr:客户端IP地址
- 样本1{“event_type”:“作为”,2:“dp xss”,3.“问”:1、4“uid”:“詹姆斯”,5“席德”:“sessionhash”,6“疯狂的”:“位置/ url”,7“柔”:“32432432”,8“m”:“获得”,9“数据”:{“fp”:“s \ u0026sos "},10:“remote_addr 3.3.3.3 "}
发现
- 保护类别:数据暴露
- 启动:首次访问任何数据源(数据库表、REST api等)
- 字段
- 类型:数据库、REST API等。
- db:数据库名称
- 模式:数据库模式名
- 表格:数据库表名
- 字段:访问的名称字段
- 掉: tCell route_id
- uid: user_id如果已知
- 问:查询类型
- 样本1{“event_type”:“发现”,2“类型”:“数据库”,3.“摆脱”:“2323224”,4“uid”:“bob@bob.com”,5“问”:“选择”,6“分贝”:“复述:4334”,7“模式”:“asfdasf”,8“表”:“用户”,9“字段”:“ssn”、“first_name”,10“字段”:“场”}
登录
- 保护类别:登录欺诈
- 发布:用户登录
- 字段
- event_name:登录失败,login-success
- user_agent: HTTP头
- 介绍人: HTTP头
- remote_addr:远程地址
- header_keys: HTTP报头名称,如果可能的话,按顺序排列
- user_id:尝试登录的用户
- password_id:尝试的密码hmac
- document_uri: uri
- 会话: sessionid的HMAC
- user_valid: null, true, false
- 样本1{“event_type”:“登录”,2:“event_name login-success”,3.“user_agent”:“Mozilla / 5.0……”4“推荐人”:“http://localhost: 3085 /用户/ sign_in”,5:“remote_addr 10.0.2.2”,6“header_keys”:[“版本”,“主人”,“连接”、“CACHE_CONTROL”,“COOKIE”),7“user_id”:“1”,8“password_id”:“98 ea6e4f”9:“document_uri /用户/ sign_in”,10“会话”:“e9e80cd52ad521ddb9090ac9ac”,11“user_valid”:真正的}
指标
个随机对照试验
- 描述:路由计数表
- 字段:
- c总要求:
- mx:最大请求时间(ms)
- 锰:最小请求时间(毫秒)
- t:平均请求时间(ms)
- 样本1{“event_type”:“指标”,2“个随机对照试验”:{3." 98246921 ": {4“c”:3,5“mx”:446年,6“锰”:68年,7“t”:3188},9"?": {10“c”:411“mx”:9,12“锰”:513“t”:714}15}
会话
- 描述:认证用户的每个会话度量
- 字段
- ua:用户代理的字典,其价值是它们来自的ip
- uid:该会话的用户ID
- 样本1{“event_type”:“指标”,2“会话”:{3.“hmac_of_session_id_x”:(4{5“uid”:“user_x”,6“跟踪”:(7[8"Mozilla/5.0 User Agent V1.03",9[10“1.1.1.1”,111.1.2.2”12]13]14]15}16],17“hmac_of_session_id_y”:(18{“uid”:“user_y”,19“跟踪”:(20.[21"Mozilla/3.0 User Agent V1.03",22[231.1.3.1”24],25"Chrome 30用户代理",[26“1.101.3.4”)27]28]29}30.]31}