Udostępnij za pośrednictwem

Mapowanie pól CEF i CommonSecurityLog

  • Artykuł

Poniższe tabele mapują nazwy pól Common Event Format (CEF) na nazwy używane w dzienniku CommonSecurityLog usługi Microsoft Sentinel i mogą być przydatne podczas pracy ze źródłem danych CEF w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Ingest syslog and CEF messages to Microsoft Sentinel with the Azure Monitor Agent (Pozyskiwanie dzienników systemu i komunikatów CEF do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor).

A — C

Nazwa klucza CEF Nazwa pola CommonSecurityLog opis
act DeviceAction Akcja wymieniona w zdarzeniu.
Aplikacja ApplicationProtocol Protokół używany w aplikacji, taki jak HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS itd.
cat DeviceEventCategory Reprezentuje kategorię przypisaną przez urządzenie źródłowe. Urządzenia często używają własnego schematu kategoryzacji do klasyfikowania zdarzeń. Na przykład: /Monitor/Disk/Read.
cnt EventCount Liczba skojarzona ze zdarzeniem pokazująca, ile razy zaobserwowano to samo zdarzenie.

D

Nazwa klucza CEF Nazwa commonSecurityLog opis
Dostawca urządzenia DeviceVendor Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego.
Produkt urządzenia DeviceProduct Ciąg, który wraz z definicjami dostawcy urządzeń i wersji jednoznacznie identyfikuje typ urządzenia wysyłającego.
Wersja urządzenia DeviceVersion Ciąg, który wraz z definicjami produktu i dostawcy urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego.
destinationDnsDomain DestinationDnsDomain Część DNS w pełni kwalifikowanej nazwy domeny (FQDN).
destinationServiceName DestinationServiceName Usługa, która jest objęta zdarzeniem. Na przykład sshd.
destinationTranslatedAddress DestinationTranslatedAddress Identyfikuje przetłumaczone miejsce docelowe, do którego odwołuje się zdarzenie w sieci IP, jako adres IP IPv4.
destinationTranslatedPort DestinationTranslatedPort Port po tłumaczeniu, taki jak zapora.
Prawidłowe numery portów: 0 - 65535
deviceDirection CommunicationDirection Wszelkie informacje o kierunku, w jakim została podjęta obserwowana komunikacja. Prawidłowe wartości:
- 0 = ruch przychodzący
- 1 = Ruch wychodzący
deviceDnsDomain DeviceDnsDomain Część domeny DNS pełnej kwalifikowanej nazwy domeny (FQDN)
DeviceEventClassID DeviceEventClassID Ciąg lub liczba całkowita, która służy jako unikatowy identyfikator dla typu zdarzenia.
deviceExternalId deviceExternalId Nazwa, która jednoznacznie identyfikuje urządzenie generujące zdarzenie.
deviceFacility DeviceFacility Obiekt generujący zdarzenie.
deviceInboundInterface DeviceInboundInterface Interfejs, na którym pakiet lub dane zostały wprowadzone na urządzeniu.
deviceNtDomain DeviceNtDomain Domena systemu Windows adresu urządzenia
deviceOutboundInterface DeviceOutboundInterface Interfejs, na którym pakiet lub dane opuściły urządzenie.
devicePayloadId DevicePayloadId Unikatowy identyfikator ładunku skojarzonego ze zdarzeniem.
deviceProcessName ProcessName Nazwa procesu skojarzona ze zdarzeniem.

Na przykład w systemie UNIX proces generuje wpis dziennika systemowego.
deviceTranslatedAddress DeviceTranslatedAddress Identyfikuje przetłumaczony adres urządzenia, do którego odnosi się zdarzenie, w sieci IP.

Format to adres Ipv4.
dhost DestinationHostName Miejsce docelowe, do którego odnosi się zdarzenie w sieci IP.
Format powinien być nazwą FQDN skojarzona z węzłem docelowym, gdy węzeł jest dostępny. Na przykład: host.domain.com lub host.
dmac DestinationMacAddress Docelowy adres MAC (FQDN)
dntdom DestinationNTDomain Nazwa domeny systemu Windows adresu docelowego.
dpid Identyfikator DestinationProcessId Identyfikator procesu docelowego skojarzonego ze zdarzeniem.
dpriv DestinationUserPrivileges Definiuje uprawnienia użytkownika docelowego.
Prawidłowe wartości: Administrator, , UserGuest
dproc DestinationProcessName Nazwa procesu docelowego zdarzenia, na przykład telnetd lub sshd.
Dpt DestinationPort Port docelowy.
Prawidłowe wartości: *0 - 65535
Czasu letniego Docelowy adres IP Docelowy adres IPV4, do którego odnosi się zdarzenie w sieci IP.
dtz Strefa czasowa urządzenia Strefa czasowa urządzenia generującego zdarzenie
duid Identyfikator użytkownika docelowego Identyfikuje docelowego użytkownika według identyfikatora.
duser DestinationUserName Identyfikuje docelowego użytkownika według nazwy.
Dvc DeviceAddress Adres IPv4 urządzenia generującego zdarzenie.
dvchost Nazwa urządzenia Nazwa FQDN skojarzona z węzłem urządzenia, gdy węzeł jest dostępny. Na przykład: host.domain.com lub host.
dvcmac DeviceMacAddress Adres MAC urządzenia generującego zdarzenie.
dvcpid Process ID Definiuje identyfikator procesu na urządzeniu generującym zdarzenie.

E - I

Nazwa klucza CEF Nazwa commonSecurityLog opis
externalId Identyfikator zewnętrzny Identyfikator używany przez urządzenie źródłowe. Zazwyczaj te wartości mają coraz większe wartości, które są skojarzone ze zdarzeniem.
fileCreateTime FileCreateTime Godzina utworzenia pliku.
fileHash Skrót pliku Skrót pliku.
fileId Identyfikator pliku Identyfikator skojarzony z plikiem, taki jak inode.
fileModificationTime FileModificationTime Godzina ostatniej modyfikacji pliku.
filePath FilePath Pełna ścieżka do pliku, w tym nazwa pliku. Na przykład: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe lub /usr/bin/zip.
filePermission FilePermission Uprawnienia pliku.
fileType Typ pliku Typ pliku, taki jak potok, gniazdo itd.
Fname FileName Nazwa pliku bez ścieżki.
fsize Rozmiar pliku Rozmiar pliku.
Gospodarz Komputer Host z dziennika systemowego
w ReceivedBytes Liczba przetransferowanych bajtów przychodzących.

M – P

Nazwa klucza CEF Nazwa commonSecurityLog opis
msg Komunikat Komunikat z bardziej szczegółowymi informacjami o zdarzeniu.
Nazwisko Działanie Ciąg reprezentujący czytelny dla człowieka i zrozumiały opis zdarzenia.
oldFileCreateTime OldFileCreateTime Czas utworzenia starego pliku.
oldFileHash OldFileHash Skrót starego pliku.
oldFileId OldFileId Identyfikator skojarzony ze starym plikiem, na przykład inode.
oldFileModificationTime OldFileModificationTime Czas ostatniej modyfikacji starego pliku.
oldFileName OldFileName Nazwa starego pliku.
oldFilePath OldFilePath Pełna ścieżka do starego pliku, w tym nazwa pliku.
Na przykład: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe lub /usr/bin/zip.
oldFilePermission OldFilePermission Uprawnienia starego pliku.
oldFileSize OldFileSize Rozmiar starego pliku.
oldFileType OldFileType Typ pliku starego pliku, taki jak potok, gniazdo itd.
out SentBytes Liczba przetransferowanych bajtów wychodzących.
wynik EventOutcome Wynik zdarzenia, taki jak success lub failure.
Proto Protokół Protokół transportowy identyfikujący używany protokół Warstwy 4.

Możliwe wartości obejmują nazwy protokołów, takie jak TCP lub UDP.

R — T

Nazwa klucza CEF Nazwa commonSecurityLog opis
reason Przyczyna Przyczyna wygenerowania zdarzenia inspekcji. Na przykład: badd password lub unknown user. Może to być również błąd lub kod zwracany. Na przykład: 0x1234.
Żądanie RequestURL Adres URL dostępny dla żądania HTTP, w tym protokół. Na przykład http://www/secure.com
requestClientApplication RequestClientApplication Agent użytkownika skojarzony z żądaniem.
requestContext RequestContext Opisuje zawartość, z której pochodzi żądanie, na przykład odwołanie HTTP.
requestCookies RequestCookies Pliki cookie skojarzone z żądaniem.
requestMethod RequestMethod Metoda używana do uzyskiwania dostępu do adresu URL.

Prawidłowe wartości obejmują metody, takie jak POST, GETi tak dalej.
Rt Godzina odbioru Czas odebrania zdarzenia związanego z działaniem.
Ważność LogSeverity Ciąg lub liczba całkowita, która opisuje znaczenie zdarzenia.

Prawidłowe wartości ciągów: Unknown , , LowMedium, , HighVery-High

Prawidłowe wartości całkowite to:
- 0-3 = Niski
- 4-6 = Średni
- 7-8 = Wysoki
- 9-10 = Bardzo wysoki
host shost SourceHostName Identyfikuje źródło, do którego odnosi się zdarzenie w sieci IP. Format powinien być w pełni kwalifikowaną nazwą domeny (FQDN) skojarzona z węzłem źródłowym, gdy węzeł jest dostępny. Na przykład: host lub host.domain.com.
smac SourceMacAddress Źródłowy adres MAC.
sntdom ŹródłoNTDomain Nazwa domeny systemu Windows dla adresu źródłowego.
sourceDnsDomain SourceDnsDomain Część domeny DNS pełnej nazwy FQDN.
sourceServiceName Nazwa usługi źródłowej Usługa odpowiedzialna za generowanie zdarzenia.
sourceTranslatedAddress SourceTranslatedAddress Identyfikuje przetłumaczone źródło, do którego odnosi się zdarzenie w sieci IP.
sourceTranslatedPort SourceTranslatedPort Port źródłowy po translacji, taki jak zapora.
Prawidłowe numery portów to 0 - 65535.
spid SourceProcessId Identyfikator procesu źródłowego skojarzonego ze zdarzeniem.
spriv SourceUserPrivileges Uprawnienia użytkownika źródłowego.

Prawidłowe wartości to: Administrator, , UserGuest
sproc SourceProcessName Nazwa procesu źródłowego zdarzenia.
Spt SourcePort Numer portu źródłowego.
Prawidłowe numery portów to 0 - 65535.
src SourceIP Źródło, do którego zdarzenie odnosi się w sieci IP, jako adres IPv4.
Suid Identyfikator użytkownika źródłowego Identyfikuje użytkownika źródłowego według identyfikatora.
suser SourceUserName Identyfikuje użytkownika źródłowego według nazwy.
type EventType Typ zdarzenia. Wartości obejmują:
- 0: zdarzenie podstawowe
- 1:Zagregowane
- 2: zdarzenie korelacji
- 3: zdarzenie akcji

Uwaga: to zdarzenie można pominąć dla zdarzeń podstawowych.

Pola niestandardowe

W poniższych tabelach są mapowane nazwy kluczy CEF i pól CommonSecurityLog, które są dostępne dla klientów do użycia dla danych, które nie mają zastosowania do żadnego z pól wbudowanych.

Niestandardowe pola adresów IPv6

W poniższej tabeli przedstawiono mapowanie kluczy CEF i nazw CommonSecurityLog dla pól adresów IPv6 dostępnych dla danych niestandardowych.

Nazwa klucza CEF Nazwa commonSecurityLog
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
cfp1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
cfp2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
cfp3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
cfp4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

Pola liczb niestandardowych

W poniższej tabeli przedstawiono mapowanie kluczy CEF i nazw CommonSecurityLog dla pól liczbowych dostępnych dla danych niestandardowych.

Nazwa klucza CEF Nazwa commonSecurityLog
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

Niestandardowe pola ciągów

W poniższej tabeli przedstawiono mapowanie kluczy CEF i nazw CommonSecurityLog dla pól ciągu dostępnych dla danych niestandardowych.

Nazwa klucza CEF Nazwa commonSecurityLog
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Napiwek

1 Zalecamy używanie pól DeviceCustomString oszczędnie i używanie bardziej szczegółowych, wbudowanych pól, jeśli jest to możliwe.

Niestandardowe pola znacznika czasu

W poniższej tabeli przedstawiono mapowanie kluczy CEF i nazw CommonSecurityLog dla pól sygnatury czasowej dostępnych dla danych niestandardowych.

Nazwa klucza CEF Nazwa commonSecurityLog
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

Niestandardowe pola danych liczb całkowitych

W poniższej tabeli przedstawiono mapowanie kluczy CEF i nazw CommonSecurityLog dla pól liczb całkowitych dostępnych dla danych niestandardowych.

Nazwa klucza CEF Nazwa commonSecurityLog
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

Pola wzbogacania

Następujące pola CommonSecurityLog są dodawane przez usługę Microsoft Sentinel w celu wzbogacania oryginalnych zdarzeń odebranych z urządzeń źródłowych i nie mają mapowań w kluczach CEF:

Pola analizy zagrożeń

Nazwa pola CommonSecurityLog opis
IndicatorThreatType Typ zagrożenia MaliciousIP zgodnie z kanałem informacyjnym analizy zagrożeń.
Złośliwy adresIP Wyświetla listę wszystkich adresów IP w komunikacie, które są skorelowane z bieżącym źródłem danych analizy zagrożeń.
Złośliwe kontoIP Kraj /region złośliwego adresu IP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu.
MaliciousIPLatitude Długość geograficzna złośliwego koduIP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu.
Złośliwy elementIPLongitude Długość geograficzna złośliwego koduIP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu.
ReportReferenceLink Link do raportu analizy zagrożeń.
ThreatConfidence Według źródła danych analizy zagrożeń złośliwego kodu IP zaufanie do zagrożeń.
ThreatDescription Opis zagrożenia MaliciousIP zgodnie z kanałem informacyjnym analizy zagrożeń.
Zależnie od zagrożeń Ważność zagrożenia dla złośliwego koduIP, zgodnie z kanałem informacyjnym analizy zagrożeń w momencie pozyskiwania rekordu.

Inne pola wzbogacania

Nazwa pola CommonSecurityLog opis
OriginalLogSeverity Zawsze puste, obsługiwane na potrzeby integracji z aplikacją CiscoASA.
Aby uzyskać szczegółowe informacje o wartościach ważności dziennika, zobacz pole LogSeverity .
RemoteIP Zdalny adres IP.
Ta wartość jest oparta na polu CommunicationDirection , jeśli to możliwe.
RemotePort Port zdalny.
Ta wartość jest oparta na polu CommunicationDirection , jeśli to możliwe.
SimplifiedDeviceAction Upraszcza wartość DeviceAction do statycznego zestawu wartości, zachowując jednocześnie oryginalną wartość w polu DeviceAction.
Na przykład: Denied>Deny.
SourceSystem Zawsze zdefiniowane jako OpsManager.

Powiązana zawartość