Asignación de campos de CEF y CommonSecurityLog
En las tablas siguientes se asignan nombres de campo de Common Event Format (CEF) a los nombres que usan en el CommonSecurityLog de Microsoft Sentinel y pueden resultar útiles cuando se trabaja con un origen de datos de CEF en Microsoft Sentinel.
Para obtener más información, consulte Conexión de la solución externa con el formato de evento común.
Importante
El 28 de febrero de 2023 introdujimos cambios en el esquema de la tabla CommonSecurityLog. Después de este cambio, es posible que tenga que revisar y actualizar consultas personalizadas. Para obtener más información, consulte la sección de acciones recomendadas en esta entrada de blog. Microsoft Sentinel ha actualizado el contenido preconfigurado (detecciones, consultas de búsqueda, libros, analizadores, etc.).
Nota
Se requiere un área de trabajo de Microsoft Sentinel para ingerir datos CEF en Log Analytics.
A - C
D
E-I
Nombre la de clave CEF | Nombre CommonSecurityLog | Descripción |
---|---|---|
externalId | ExternalID | Un id. usado por el dispositivo de origen. Normalmente, estos valores tienen valores crecientes que están asociados a un evento. |
fileCreateTime | FileCreateTime | Hora a la que se creó el archivo. |
fileHash | FileHash | Hash de un archivo. |
fileId | FileID | Un id. asociado a un archivo, como el inode. |
fileModificationTime | FileModificationTime | Hora a la que se modificó el archivo por última vez. |
filePath | FilePath | Ruta de acceso completa del archivo, incluido el nombre de archivo. Por ejemplo, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip . |
filePermission | FilePermission | Permisos del archivo. |
fileType | FileType | Tipo de archivo, como canalización, socket, etc. |
fname | FileName | Nombre del archivo, sin la ruta de acceso. |
fsize | FileSize | Tamaño del archivo. |
Host | Computer | Host, desde Syslog |
in | ReceivedBytes | Número de bytes transferidos de entrada. |
M-P
Nombre la de clave CEF | Nombre CommonSecurityLog | Descripción |
---|---|---|
msg | Message | Un mensaje que proporciona más detalles sobre el evento. |
Nombre | Actividad | Cadena que representa una descripción inteligible y comprensible del evento. |
oldFileCreateTime | OldFileCreateTime | Hora a la que se creó el archivo anterior. |
oldFileHash | OldFileHash | Hash del archivo anterior. |
oldFileId | OldFileId | Y el identificador asociado al archivo anterior, como el inode. |
oldFileModificationTime | OldFileModificationTime | Hora a la que se modificó el archivo anterior por última vez. |
oldFileName | OldFileName | Nombre del archivo anterior. |
oldFilePath | OldFilePath | Ruta de acceso completa del archivo anterior, incluido el nombre de archivo. Por ejemplo, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip . |
oldFilePermission | OldFilePermission | Permisos del archivo anterior. |
oldFileSize | OldFileSize | Tamaño del archivo anterior. |
oldFileType | OldFileType | Tipo de archivo del archivo anterior, como una canalización, un socket, etc. |
out | SentBytes | Número de bytes transferidos de salida. |
outcome | EventOutcome | Resultado del evento, como success o failure . |
proto | Protocolo | Protocolo de transporte que identifica el protocolo de nivel 4 utilizado. Los valores posibles incluyen nombres de protocolo, como TCP o UDP . |
R-T
Custom Fields
En las tablas siguientes se asignan los nombres de las claves CEF y los campos CommonSecurityLog que están disponibles para que los clientes los usen para los datos que no se aplican a ninguno de los campos integrados.
Campos de dirección IPv6 personalizados
En la tabla siguiente se asigna la clave CEF y los nombres de CommonSecurityLog para los campos de dirección IPv6 disponibles para los datos personalizados.
Nombre la de clave CEF | Nombre CommonSecurityLog |
---|---|
c6a1 | DeviceCustomIPv6Address1 |
c6a1Label | DeviceCustomIPv6Address1Label |
c6a2 | DeviceCustomIPv6Address2 |
c6a2Label | DeviceCustomIPv6Address2Label |
c6a3 | DeviceCustomIPv6Address3 |
c6a3Label | DeviceCustomIPv6Address3Label |
c6a4 | DeviceCustomIPv6Address4 |
c6a4Label | DeviceCustomIPv6Address4Label |
cfp1 | DeviceCustomFloatingPoint1 |
cfp1Label | deviceCustomFloatingPoint1Label |
cfp2 | DeviceCustomFloatingPoint2 |
cfp2Label | deviceCustomFloatingPoint2Label |
cfp3 | DeviceCustomFloatingPoint3 |
cfp3Label | deviceCustomFloatingPoint3Label |
cfp4 | DeviceCustomFloatingPoint4 |
cfp4Label | deviceCustomFloatingPoint4Label |
Campos de número personalizados
En la tabla siguiente se asigna la clave CEF y los nombres de CommonSecurityLog para los campos de número disponibles para los datos personalizados.
Nombre la de clave CEF | Nombre CommonSecurityLog |
---|---|
cn1 | DeviceCustomNumber1 |
cn1Label | DeviceCustomNumber1Label |
cn2 | DeviceCustomNumber2 |
cn2Label | DeviceCustomNumber2Label |
cn3 | DeviceCustomNumber3 |
cn3Label | DeviceCustomNumber3Label |
Campos de cadena personalizados
En la tabla siguiente se asigna la clave CEF y los nombres de CommonSecurityLog para los campos de cadena disponibles para los datos personalizados.
Nombre la de clave CEF | Nombre CommonSecurityLog |
---|---|
cs1 | DeviceCustomString1 1 |
cs1Label | DeviceCustomString1Label 1 |
cs2 | DeviceCustomString2 1 |
cs2Label | DeviceCustomString2Label 1 |
cs3 | DeviceCustomString3 1 |
cs3Label | DeviceCustomString3Label 1 |
cs4 | DeviceCustomString4 1 |
cs4Label | DeviceCustomString4Label 1 |
cs5 | DeviceCustomString5 1 |
cs5Label | DeviceCustomString5Label 1 |
cs6 | DeviceCustomString6 1 |
cs6Label | DeviceCustomString6Label 1 |
flexString1 | FlexString1 |
flexString1Label | FlexString1Label |
flexString2 | FlexString2 |
flexString2Label | FlexString2Label |
Sugerencia
1 Se recomienda usar los campos DeviceCustomString con moderación y usar campos integrados más específicos cuando sea posible.
Campos de marca de tiempo personalizados
En la tabla siguiente se asigna la clave CEF y los nombres de CommonSecurityLog para los campos de marca de tiempo disponibles para los datos personalizados.
Nombre la de clave CEF | Nombre CommonSecurityLog |
---|---|
deviceCustomDate1 | DeviceCustomDate1 |
deviceCustomDate1Label | DeviceCustomDate1Label |
deviceCustomDate2 | DeviceCustomDate2 |
deviceCustomDate2Label | DeviceCustomDate2Label |
flexDate1 | FlexDate1 |
flexDate1Label | FlexDate1Label |
Campos de datos enteros personalizados
En la tabla siguiente se asigna la clave CEF y los nombres de CommonSecurityLog para los campos de enteros disponibles para los datos personalizados.
Nombre la de clave CEF | Nombre CommonSecurityLog |
---|---|
flexNumber1 | FlexNumber1 |
flexNumber1Label | FlexNumber1Label |
flexNumber2 | FlexNumber2 |
flexNumber2Label | FlexNumber2Label |
Campos de enriquecimiento
Los siguientes campos commonSecurityLog se agregan mediante Microsoft Sentinel para enriquecer los eventos originales recibidos de los dispositivos de origen, y no tienen asignaciones en las claves CEF:
Campos de inteligencia sobre amenazas
Nombre del campo CommonSecurityLog | Descripción |
---|---|
IndicatorThreatType | El tipo de amenaza de MaliciousIP, según la fuente de inteligencia sobre amenazas. |
MaliciousIP | Enumera las direcciones IP del mensaje que se correlacionan con la fuente de inteligencia sobre amenazas actual. |
MaliciousIPCountry | El país o región de MaliciousIP, según la información geográfica en el momento de la ingesta de registros. |
MaliciousIPLatitude | La longitud de MaliciousIP, según la información geográfica en el momento de la ingesta de registros. |
MaliciousIPLongitude | La longitud de MaliciousIP, según la información geográfica en el momento de la ingesta de registros. |
ReportReferenceLink | Vínculo al informe de inteligencia sobre amenazas. |
ThreatConfidence | La confianza de la amenaza MaliciousIP, según la fuente de inteligencia sobre amenazas. |
ThreatDescription | La descripción de MaliciousIP, según la fuente de inteligencia sobre amenazas. |
ThreatSeverity | La gravedad de la amenaza para MaliciousIP, según la fuente de inteligencia sobre amenazas en el momento de la ingesta de registros. |
Campos de enriquecimiento adicionales
Nombre del campo CommonSecurityLog | Descripción |
---|---|
OriginalLogSeverity | Siempre está vacío, compatible para la integración con CiscoASA. Para obtener más información sobre los valores de gravedad del registro, vea el campo LogSeverity. |
RemoteIP | Dirección IP remota. Este valor se basa en el campo CommunicationDirection, si es posible. |
RemotePort | Puerto remoto. Este valor se basa en el campo CommunicationDirection, si es posible. |
SimplifiedDeviceAction | Simplifica el valor de DeviceAction a un conjunto estático de valores, manteniendo el valor original en el campo DeviceAction. Por ejemplo: Denied >Deny . |
SourceSystem | Siempre se define como OpsManager. |
Pasos siguientes
Para obtener más información, consulte Conexión de la solución externa con el formato de evento común.
Comentaris
https://aka.ms/ContentUserFeedback.
Properament: al llarg del 2024 eliminarem gradualment GitHub Issues com a mecanisme de retroalimentació del contingut i el substituirem per un nou sistema de retroalimentació. Per obtenir més informació, consulteu:Envieu i consulteu els comentaris de