Condividi tramite

Mapping dei campi CEF e CommonSecurityLog

  • Articolo

Le tabelle seguenti eseguono il mapping dei nomi dei campi CEF (Common Event Format) ai nomi usati in CommonSecurityLog di Microsoft Sentinel e potrebbero essere utili quando si usa un'origine dati CEF in Microsoft Sentinel. Per altre informazioni, vedere Inserire messaggi syslog e CEF in Microsoft Sentinel con l'agente di Monitoraggio di Azure.

A - C

Nome chiave CEF Nome campo CommonSecurityLog Descrizione
act DeviceAction Azione indicata nell'evento.
applicazione ApplicationProtocol Protocollo usato nell'applicazione, ad esempio HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS e così via.
cat DeviceEventCategory Rappresenta la categoria assegnata dal dispositivo di origine. I dispositivi usano spesso uno schema di categorizzazione personalizzato per classificare l'evento. Ad esempio: /Monitor/Disk/Read.
cnt EventCount Conteggio associato all'evento, che mostra quante volte è stato osservato lo stesso evento.

D

Nome chiave CEF Nome CommonSecurityLog Descrizione
Fornitore di dispositivi DeviceVendor Stringa che, insieme alle definizioni di prodotto e versione del dispositivo, identifica in modo univoco il tipo di dispositivo di invio.
Prodotto dispositivo DeviceProduct Stringa che, insieme alle definizioni del fornitore del dispositivo e della versione, identifica in modo univoco il tipo di dispositivo di invio.
Versione del dispositivo DeviceVersion Stringa che, insieme alle definizioni di prodotto e fornitore del dispositivo, identifica in modo univoco il tipo di dispositivo di invio.
destinationDnsDomain DestinationDnsDomain Parte DNS del nome di dominio completo (FQDN).
destinationServiceName DestinationServiceName Servizio di destinazione dell'evento. Ad esempio: sshd.
destinationTranslatedAddress DestinationTranslatedAddress Identifica la destinazione tradotta a cui fa riferimento l'evento in una rete IP, come indirizzo IP IPv4.
destinationTranslatedPort DestinationTranslatedPort Porta, dopo la conversione, ad esempio un firewall.
Numeri di porta validi: 0 - 65535
deviceDirection CommunicationDirection Qualsiasi informazione sulla direzione in cui è stata presa la comunicazione osservata. Valori validi:
- 0 = In ingresso
- 1 = In uscita
deviceDnsDomain DeviceDnsDomain Parte del dominio DNS del nome di dominio completo (FQDN)
DeviceEventClassID DeviceEventClassID Stringa o integer che funge da identificatore univoco per tipo di evento.
deviceExternalId deviceExternalId Nome che identifica in modo univoco il dispositivo che genera l'evento.
deviceFacility DeviceFacility Struttura che genera l'evento.
deviceInboundInterface DeviceInboundInterface Interfaccia in cui il pacchetto o i dati sono stati immessi nel dispositivo.
deviceNtDomain DeviceNtDomain Dominio Windows dell'indirizzo del dispositivo
deviceOutboundInterface DeviceOutboundInterface Interfaccia in cui il pacchetto o i dati hanno lasciato il dispositivo.
devicePayloadId DevicePayloadId Identificatore univoco per il payload associato all'evento.
deviceProcessName ProcessName Nome del processo associato all'evento.

Ad esempio, in UNIX, il processo che genera la voce syslog.
deviceTranslatedAddress DeviceTranslatedAddress Identifica l'indirizzo del dispositivo convertito a cui fa riferimento l'evento, in una rete IP.

Il formato è un indirizzo Ipv4.
dhost DestinationHostName Destinazione a cui fa riferimento l'evento in una rete IP.
Il formato deve essere un FQDN associato al nodo di destinazione, quando è disponibile un nodo. Ad esempio, host.domain.com o host.
dmac DestinationMacAddress Indirizzo MAC di destinazione (FQDN)
dntdom DestinationNTDomain Nome di dominio di Windows dell'indirizzo di destinazione.
dpid DestinationProcessId ID del processo di destinazione associato all'evento.
dpriv DestinationUserPrivileges Definisce i privilegi dell'uso della destinazione.
Valori validi: Admninistrator, User, Guest
dproc DestinationProcessName Nome del processo di destinazione dell'evento, ad esempio telnetd o sshd.
Dpt DestinationPort Porta di destinazione.
Valori validi: *0 - 65535
Dst DestinationIP Indirizzo IpV4 di destinazione a cui fa riferimento l'evento in una rete IP.
dtz DeviceTimeZone Fuso orario del dispositivo che genera l'evento
duid DestinationUserId Identifica l'utente di destinazione in base all'ID.
duser DestinationUserName Identifica l'utente di destinazione in base al nome.
dvc DeviceAddress Indirizzo IPv4 del dispositivo che genera l'evento.
dvchost DeviceName FQDN associato al nodo del dispositivo, quando è disponibile un nodo. Ad esempio, host.domain.com o host.
dvcmac DeviceMacAddress Indirizzo MAC del dispositivo che genera l'evento.
dvcpid Process ID Definisce l'ID del processo nel dispositivo che genera l'evento.

E - I

Nome chiave CEF Nome CommonSecurityLog Descrizione
externalId ExternalID ID utilizzato dal dispositivo di origine. In genere, questi valori hanno valori crescenti associati a un evento.
fileCreateTime FileCreateTime Ora di creazione del file.
fileHash FileHash Hash di un file.
fileId FileID ID associato a un file, ad esempio l'inode.
fileModificationTime FileModificationTime Ora dell'ultima modifica del file.
filePath FilePath Percorso completo del file, incluso il nome file. Ad esempio, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip.
filePermission FilePermission Autorizzazioni del file.
fileType FileType Tipo di file, ad esempio pipe, socket e così via.
fname FileName Nome del file, senza il percorso.
fsize FileSize Dimensioni del file.
Host Computer Host, da Syslog
in ReceivedBytes Numero di byte trasferiti in ingresso.

M - P

Nome chiave CEF Nome CommonSecurityLog Descrizione
msg Message Messaggio che fornisce altri dettagli sull'evento.
Nome Impegno Stringa che rappresenta una descrizione leggibile e comprensibile dell'evento.
oldFileCreateTime OldFileCreateTime Ora di creazione del file precedente.
oldFileHash OldFileHash Hash del file precedente.
oldFileId OldFileId ID associato al file precedente, ad esempio l'inode.
oldFileModificationTime OldFileModificationTime Ora dell'ultima modifica del file precedente.
oldFileName OldFileName Nome del file precedente.
oldFilePath OldFilePath Percorso completo del file precedente, incluso il nome file.
Ad esempio, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip.
oldFilePermission OldFilePermission Autorizzazioni del file precedente.
oldFileSize OldFileSize Dimensioni del file precedente.
oldFileType OldFileType Tipo di file del file precedente, ad esempio pipe, socket e così via.
out SentBytes Numero di byte trasferiti in uscita.
risultato EventOutcome Risultato dell'evento, ad esempio success o failure.
proto Protocollo Protocollo di trasporto che identifica il protocollo di livello 4 usato.

I valori possibili includono nomi di protocollo, ad esempio TCP o UDP.

R - T

Nome chiave CEF Nome CommonSecurityLog Descrizione
reason Motivo Motivo per cui è stato generato un evento di controllo. Ad esempio, badd password o unknown user. Può trattarsi anche di un errore o di un codice restituito. Ad esempio: 0x1234.
Richiedi RequestURL URL a cui si accede per una richiesta HTTP, incluso il protocollo . Ad esempio, http://www/secure.com
requestClientApplication RequestClientApplication Agente utente associato alla richiesta.
requestContext RequestContext Descrive il contenuto da cui ha avuto origine la richiesta, ad esempio il referrer HTTP.
requestCookies RequestCookies Cookie associati alla richiesta.
requestMethod RequestMethod Metodo utilizzato per accedere a un URL.

I valori validi includono metodi come POST, GETe così via.
rt ReceiptTime Ora in cui è stato ricevuto l'evento correlato all'attività.
Gravità LogSeverity Stringa o integer che descrive l'importanza dell'evento.

Valori stringa validi: Unknown , Low, Medium, High, Very-High

I valori integer validi sono:
- 0-3 = Bassa
- 4-6 = Medio
- 7-8 = Alto
- 9-10 = Molto alto
shost SourceHostName Identifica l'origine a cui fa riferimento l'evento in una rete IP. Il formato deve essere un nome di dominio completo (DQDN) associato al nodo di origine, quando è disponibile un nodo. Ad esempio, host o host.domain.com.
smac SourceMacAddress Indirizzo MAC di origine.
sntdom SourceNTDomain Nome di dominio di Windows per l'indirizzo di origine.
sourceDnsDomain SourceDnsDomain Parte del dominio DNS del nome di dominio completo.
sourceServiceName SourceServiceName Servizio responsabile della generazione dell'evento.
sourceTranslatedAddress SourceTranslatedAddress Identifica l'origine tradotta a cui fa riferimento l'evento in una rete IP.
sourceTranslatedPort SourceTranslatedPort Porta di origine dopo la conversione, ad esempio un firewall.
I numeri di porta validi sono 0 - 65535.
spid SourceProcessId ID del processo di origine associato all'evento.
spriv SourceUserPrivileges Privilegi dell'utente di origine.

I valori validi includono: Administrator, User, Guest
sproc SourceProcessName Nome del processo di origine dell'evento.
Spt SourcePort Numero di porta di origine.
I numeri di porta validi sono 0 - 65535.
src SourceIP Origine a cui un evento fa riferimento in una rete IP, come indirizzo IPv4.
Suid SourceUserID Identifica l'utente di origine in base all'ID.
suser SourceUserName Identifica l'utente di origine in base al nome.
type EventType Tipo di evento. I valori dei valori includono:
- 0: evento di base
- 1:Aggregati
- 2: evento di correlazione
- 3: evento di azione

Nota: questo evento può essere omesso per gli eventi di base.

Campi personalizzati

Le tabelle seguenti eseguono il mapping dei nomi delle chiavi CEF e dei campi CommonSecurityLog disponibili per i clienti da usare per i dati che non si applicano ad alcuno dei campi predefiniti.

Campi di indirizzo IPv6 personalizzati

Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi degli indirizzi IPv6 disponibili per i dati personalizzati.

Nome chiave CEF Nome CommonSecurityLog
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
cfp1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
cfp2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
cfp3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
cfp4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

Campi numerici personalizzati

Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi numerici disponibili per i dati personalizzati.

Nome chiave CEF Nome CommonSecurityLog
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

Campi stringa personalizzati

Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi stringa disponibili per i dati personalizzati.

Nome chiave CEF Nome CommonSecurityLog
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Suggerimento

1 Ti consigliamo di usare i campi DeviceCustomString con moderazione e di usare campi predefiniti più specifici, quando possibile.

Campi timestamp personalizzati

Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi timestamp disponibili per i dati personalizzati.

Nome chiave CEF Nome CommonSecurityLog
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

Campi dati integer personalizzati

Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi integer disponibili per i dati personalizzati.

Nome chiave CEF Nome CommonSecurityLog
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

Campi di arricchimento

I campi CommonSecurityLog seguenti vengono aggiunti da Microsoft Sentinel per arricchire gli eventi originali ricevuti dai dispositivi di origine e non hanno mapping nelle chiavi CEF:

Campi di Intelligence sulle minacce

Nome campo CommonSecurityLog Descrizione
IndicatorThreatType Tipo di minaccia MaliciousIP , in base al feed di intelligence per le minacce.
MaliciousIP Elenca gli indirizzi IP nel messaggio correlati al feed di intelligence sulle minacce corrente.
MaliciousIPCountry Paese /area geografica di MalwareIP , in base alle informazioni geografiche al momento dell'inserimento del record.
MaliciousIPLatitude Longitudine di MaliciousIP , in base alle informazioni geografiche al momento dell'inserimento del record.
MaliciousIPLongitude Longitudine di MaliciousIP , in base alle informazioni geografiche al momento dell'inserimento del record.
ReportReferenceLink Collegamento al report intelligence sulle minacce.
ThreatConfidence Attendibilità delle minacce di MalwareIP , in base al feed di intelligence sulle minacce.
ThreatDescription Descrizione della minaccia MalwareIP, in base al feed di intelligence per le minacce.
ThreatSeverity Gravità della minaccia per MaliciousIP, in base al feed di intelligence per le minacce al momento dell'inserimento di record.

Altri campi di arricchimento

Nome campo CommonSecurityLog Descrizione
OriginalLogSeverity Sempre vuoto, supportato per l'integrazione con CiscoASA.
Per informazioni dettagliate sui valori di gravità del log, vedere il campo LogSeverity .
RemoteIP Indirizzo IP remoto.
Questo valore è basato sul campo CommunicationDirection , se possibile.
RemotePort Porta remota.
Questo valore è basato sul campo CommunicationDirection , se possibile.
SimplifiedDeviceAction Semplifica il valore DeviceAction in un set statico di valori, mantenendo il valore originale nel campo DeviceAction .
Ad esempio: Denied>Deny.
SourceSystem Sempre definito come OpsManager.

Contenuto correlato