Partilhar via

Mapeamento de campo CEF e CommonSecurityLog

  • Artigo

As tabelas a seguir mapeiam nomes de campo CEF (Common Event Format) para os nomes usados no CommonSecurityLog do Microsoft Sentinel e podem ser úteis quando você estiver trabalhando com uma fonte de dados CEF no Microsoft Sentinel. Para obter mais informações, consulte Ingerir mensagens syslog e CEF para o Microsoft Sentinel com o Azure Monitor Agent.

A - C

Nome da chave CEF Nome do campo CommonSecurityLog Description
act DeviceAction A ação mencionada no evento.
Aplicação ApplicationProtocol O protocolo usado no aplicativo, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS e assim por diante.
cat DeviceEventCategory Representa a categoria atribuída pelo dispositivo de origem. Os dispositivos geralmente usam seu próprio esquema de categorização para classificar o evento. Por exemplo: /Monitor/Disk/Read.
CNT EventCount Uma contagem associada ao evento, mostrando quantas vezes o mesmo evento foi observado.

D

Nome da chave CEF Nome CommonSecurityLog Description
Fornecedor de dispositivos DeviceVendor String que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
Produto do dispositivo DispositivoProduto String que, juntamente com o fornecedor do dispositivo e as definições de versão, identifica exclusivamente o tipo de dispositivo de envio.
Versão do dispositivo Versão do dispositivo String que, juntamente com as definições de produto e fornecedor do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
destinationDnsDomain DestinationDnsDomain A parte DNS do nome de domínio totalmente qualificado (FQDN).
destinationServiceName DestinationServiceName O serviço que é alvo do evento. Por exemplo, sshd.
destinationTranslatedAddress DestinoEndereço traduzido Identifica o destino traduzido referido pelo evento em uma rede IP, como um endereço IP IPv4.
destinoTranslatedPort DestinoTranslatedPort Port, após a tradução, como um firewall.
Números de porta válidos: 0 - 65535
deviceDirection ComunicaçãoDireção Qualquer informação sobre a direção que a comunicação observada tomou. Valores válidos:
- 0 = Entrada
- 1 = Saída
deviceDnsDomain DeviceDnsDomain A parte do domínio DNS do nome de domínio qualificado completo (FQDN)
DeviceEventClassID DeviceEventClassID String ou inteiro que serve como um identificador exclusivo por tipo de evento.
deviceExternalId deviceExternalId Um nome que identifica exclusivamente o dispositivo que gera o evento.
deviceFacility [en] DeviceFacility A instalação geradora do evento.
deviceInboundInterface DeviceInboundInterface A interface na qual o pacote ou os dados entraram no dispositivo.
deviceNtDomain DeviceNtDomain O domínio Windows do endereço do dispositivo
deviceOutboundInterface DeviceOutboundInterface Interface na qual o pacote ou os dados saíram do dispositivo.
devicePayloadId DevicePayloadId Identificador exclusivo da carga associada ao evento.
deviceProcessName ProcessName Nome do processo associado ao evento.

Por exemplo, no UNIX, o processo que gera a entrada syslog.
deviceTranslatedAddress DeviceTranslatedAddress Identifica o endereço do dispositivo traduzido ao qual o evento se refere, em uma rede IP.

O formato é um endereço Ipv4.
Dhost DestinationHostName O destino ao qual o evento se refere em uma rede IP.
O formato deve ser um FQDN associado ao nó de destino, quando um nó estiver disponível. Por exemplo, host.domain.com ou host.
DMAC DestinationMacAddress O endereço MAC de destino (FQDN)
DNTdom DestinoNTDomain O nome de domínio do Windows do endereço de destino.
DPID DestinationProcessId A ID do processo de destino associado ao evento.
Dpriv DestinationUserPrivileges Define os privilégios do uso de destino.
Valores válidos: Administrator, User, Guest
DPOC DestinationProcessName O nome do processo de destino do evento, como telnetd ou sshd.
DPT DestinationPort Porta de destino.
Valores válidos: *0 - 65535
horário de verão DestinoIP O endereço IpV4 de destino ao qual o evento se refere em uma rede IP.
DTZ DeviceTimeZone Fuso horário do dispositivo que gera o evento
Duid DestinationUserId Identifica o usuário de destino por ID.
duser DestinationUserName Identifica o usuário de destino pelo nome.
DVC Endereço do dispositivo O endereço IPv4 do dispositivo que gera o evento.
DVChost Nome do dispositivo O FQDN associado ao nó do dispositivo, quando um nó está disponível. Por exemplo, host.domain.com ou host.
DVCMAC DeviceMacAddress O endereço MAC do dispositivo que gera o evento.
DVCPID Process ID Define a ID do processo no dispositivo que gera o evento.

E - I

Nome da chave CEF Nome CommonSecurityLog Description
externalId ID Externo Um ID usado pelo dispositivo de origem. Normalmente, esses valores têm valores crescentes que estão associados a um evento.
fileCreateTime FileCreateTime Hora em que o ficheiro foi criado.
fileHash Hash de Ficheiro Hash de um ficheiro.
fileId ID do ficheiro Um ID associado a um arquivo, como o inode.
fileModificationTime FileModificationTime Hora em que o arquivo foi modificado pela última vez.
filePath FilePath Caminho completo para o arquivo, incluindo o nome do arquivo. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip.
filePermission FilePermission As permissões do arquivo.
Tipo de ficheiro Tipo de ficheiro Tipo de arquivo, como pipe, soquete e assim por diante.
FNAME FileName O nome do arquivo, sem o caminho.
fsize Tamanho do arquivo O tamanho do arquivo.
Host Computador Host, da Syslog
presente em ReceivedBytes Número de bytes transferidos de entrada.

M - P

Nome da chave CEF Nome CommonSecurityLog Description
msg Mensagem Uma mensagem que dá mais detalhes sobre o evento.
Nome Atividade Uma cadeia de caracteres que representa uma descrição compreensível e legível por humanos do evento.
oldFileCreateTime OldFileCreateTime Hora em que o ficheiro antigo foi criado.
oldFileHash OldFileHash Hash do ficheiro antigo.
oldFileId OldFileId E ID associado ao arquivo antigo, como o inode.
oldFileModificationTime OldFileModificationTime Hora em que o arquivo antigo foi modificado pela última vez.
oldFileName OldFileName Nome do arquivo antigo.
oldFilePath OldFilePath Caminho completo para o arquivo antigo, incluindo o nome do arquivo.
Por exemplo, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip.
oldFilePermission OldFilePermission Permissões do arquivo antigo.
oldFileSize OldFileSize Tamanho do arquivo antigo.
oldFileType OldFileType Tipo de arquivo do arquivo antigo, como um pipe, soquete e assim por diante.
fora SentBytes Número de bytes transferidos de saída.
resultado EventoResultado Resultado do evento, como success ou failure.
proto Protocolo Protocolo de transporte que identifica o protocolo de camada 4 usado.

Os valores possíveis incluem nomes de protocolo, como TCP ou UDP.

R – T

Nome da chave CEF Nome CommonSecurityLog Description
reason Razão O motivo pelo qual um evento de auditoria foi gerado. Por exemplo, badd password ou unknown user. Isso também pode ser um erro ou código de retorno. Por exemplo: 0x1234.
Pedir RequestURL A URL acessada para uma solicitação HTTP, incluindo o protocolo. Por exemplo, http://www/secure.com
requestClientApplication RequestClientApplication O agente de usuário associado à solicitação.
requestContext RequestContext Descreve o conteúdo do qual a solicitação se originou, como o referenciador HTTP.
pedidoCookies PedidoCookies Cookies associados ao pedido.
requestMethod RequestMethod O método usado para acessar uma URL.

Os valores válidos incluem métodos como POST, GETe assim por diante.
RT Tempo de Recebimento O momento em que o evento relacionado à atividade foi recebido.
Gravidade LogSeverity Uma cadeia de caracteres ou inteiro que descreve a importância do evento.

Valores de cadeia de caracteres válidos: Unknown , Low, Medium, High, , Very-High

Os valores inteiros válidos são:
- 0-3 = Baixo
- 4-6 = Médio
- 7-8 = Alto
- 9-10 = Muito Alto
Shost SourceHostName Identifica a origem a que o evento se refere em uma rede IP. O formato deve ser um nome de domínio totalmente qualificado (FQDN) associado ao nó de origem, quando um nó estiver disponível. Por exemplo, host ou host.domain.com.
SMAC SourceMacAddress Endereço MAC de origem.
SNTDOM FonteNTDomain O nome de domínio do Windows para o endereço de origem.
sourceDnsDomain SourceDnsDomain A parte do domínio DNS do FQDN completo.
sourceServiceName SourceServiceName O serviço responsável pela geração do evento.
sourceTranslatedAddress SourceTranslatedAddress Identifica a fonte traduzida à qual o evento se refere em uma rede IP.
fonteTranslatedPort SourceTranslatedPort Porta de origem após a tradução, como um firewall.
Os números de porta válidos são 0 - 65535.
SPID SourceProcessId A ID do processo de origem associado ao evento.
spriv SourceUserPrivileges Os privilégios do usuário de origem.

Os valores válidos incluem: Administrator, User, Guest
SPOC SourceProcessName O nome do processo de origem do evento.
SPT FontePort O número da porta de origem.
Os números de porta válidos são 0 - 65535.
src FonteIP A origem a que um evento se refere em uma rede IP, como um endereço IPv4.
Suid SourceUserID Identifica o usuário de origem por ID.
suser SourceUserName Identifica o usuário de origem pelo nome.
tipo EventType Tipo de evento. Os valores de valor incluem:
- 0: evento base
- 1: agregado
- 2: evento de correlação
- 3: evento de ação

Nota: Este evento pode ser omitido para eventos base.

Campos personalizados

As tabelas a seguir mapeiam os nomes das chaves CEF e campos CommonSecurityLog que estão disponíveis para os clientes usarem para dados que não se aplicam a nenhum dos campos internos.

Campos de endereço IPv6 personalizados

A tabela a seguir mapeia os nomes de chave CEF e CommonSecurityLog para os campos de endereço IPv6 disponíveis para dados personalizados.

Nome da chave CEF Nome CommonSecurityLog
C6A1 DeviceCustomIPv6Address1
c6a1Rótulo DeviceCustomIPv6Address1Label
C6A2 DeviceCustomIPv6Address2
c6a2Rótulo DeviceCustomIPv6Address2Label
C6A3 DeviceCustomIPv6Address3
c6a3Rótulo DeviceCustomIPv6Address3Label
C6A4 DeviceCustomIPv6Address4
c6a4Rótulo DeviceCustomIPv6Address4Label
Cfp1 DeviceCustomFloatingPoint1
cfp1Rótulo deviceCustomFloatingPoint1Label
PCP2 DeviceCustomFloatingPoint2
cfp2Rótulo dispositivoCustomFloatingPoint2Label
Cfp3 DeviceCustomFloatingPoint3
cfp3Rótulo dispositivoCustomFloatingPoint3Label
Cfp4 DeviceCustomFloatingPoint4
cfp4Rótulo dispositivoCustomFloatingPoint4Label

Campos de número personalizados

A tabela a seguir mapeia os nomes de chave CEF e CommonSecurityLog para os campos numéricos disponíveis para dados personalizados.

Nome da chave CEF Nome CommonSecurityLog
CN1 DeviceCustomNumber1
cn1Rótulo DeviceCustomNumber1Label
CN2 DeviceCustomNumber2
cn2Rótulo DeviceCustomNumber2Label
CN3 DeviceCustomNumber3
cn3Rótulo DeviceCustomNumber3Label

Campos de cadeia de caracteres personalizados

A tabela a seguir mapeia os nomes de chave CEF e CommonSecurityLog para os campos de cadeia de caracteres disponíveis para dados personalizados.

Nome da chave CEF Nome CommonSecurityLog
CS1 DeviceCustomString1 1
cs1Rótulo DeviceCustomString1Label 1
CS2 DeviceCustomString2 1
cs2Rótulo DeviceCustomString2Label 1
CS3 DeviceCustomString3 1
cs3Rótulo DeviceCustomString3Label 1
CS4 DeviceCustomString4 1
cs4Rótulo DeviceCustomString4Label 1
CS5 DeviceCustomString5 1
cs5Rótulo DeviceCustomString5Label 1
CS6 DeviceCustomString6 1
cs6Rótulo DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Gorjeta

1 Recomendamos que você use os campos DeviceCustomString com moderação e use campos internos mais específicos quando possível.

Campos de carimbo de data/hora personalizados

A tabela a seguir mapeia os nomes de chave CEF e CommonSecurityLog para os campos de carimbo de data/hora disponíveis para dados personalizados.

Nome da chave CEF Nome CommonSecurityLog
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
dispositivoCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

Campos de dados inteiros personalizados

A tabela a seguir mapeia os nomes de chave CEF e CommonSecurityLog para os campos inteiros disponíveis para dados personalizados.

Nome da chave CEF Nome CommonSecurityLog
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

Campos de enriquecimento

Os seguintes campos CommonSecurityLog são adicionados pelo Microsoft Sentinel para enriquecer os eventos originais recebidos dos dispositivos de origem e não têm mapeamentos em chaves CEF:

Campos de inteligência de ameaças

Nome do campo CommonSecurityLog Description
IndicatorThreatType O tipo de ameaça MaliciousIP , de acordo com o feed de inteligência de ameaças.
MaliciosamenteIP Lista todos os endereços IP na mensagem que se correlacionam com o feed de inteligência de ameaças atual.
MaliciosoIPCountry O país/região MaliciousIP , de acordo com a informação geográfica no momento da ingestão do registo.
MaliciosoIPLatitude A longitude MaliciousIP , de acordo com as informações geográficas no momento da ingestão do registro.
MaliciousIPLongitude A longitude MaliciousIP , de acordo com as informações geográficas no momento da ingestão do registro.
ReportReferenceLink Link para o relatório de informações sobre ameaças.
ThreatConfidence A confiança da ameaça MaliciousIP , de acordo com o feed de inteligência de ameaças.
AmeaçaDescrição A descrição da ameaça MaliciousIP , de acordo com o feed de inteligência de ameaças.
ThreatSeverity A gravidade da ameaça para o MaliciousIP, de acordo com o feed de inteligência de ameaças no momento da ingestão do registro.

Outros campos de enriquecimento

Nome do campo CommonSecurityLog Description
OriginalLogSeverity Sempre vazio, suportado para integração com CiscoASA.
Para obter detalhes sobre os valores de gravidade do log, consulte o campo LogSeverity .
RemoteIP O endereço IP remoto.
Esse valor é baseado no campo CommunicationDirection , se possível.
Porta Remota A porta remota.
Esse valor é baseado no campo CommunicationDirection , se possível.
SimplifiedDeviceAction Simplifica o valor DeviceAction para um conjunto estático de valores, mantendo o valor original no campo DeviceAction .
Por exemplo: Denied>Deny.
SourceSystem [en] Sempre definido como OpsManager.

Conteúdos relacionados