Mapování polí CEF a CommonSecurityLog

Článek
11/08/2023

Následující tabulky mapují názvy polí CEF (Common Event Format) na názvy, které používají v CommonSecurityLogu služby Microsoft Sentinel, a mohou být užitečné při práci se zdrojem dat CEF v Microsoft Sentinelu.

Další informace najdete v tématu Připojení externího řešení pomocí formátu Common Event Format.

Důležité

28. února 2023 jsme zavedli změny schématu tabulky CommonSecurityLog. Po provedení této změny možná budete muset zkontrolovat a aktualizovat vlastní dotazy. Další podrobnosti najdete v části Doporučené akce v tomto blogovém příspěvku. Služba Microsoft Sentinel aktualizovala předefinovaný obsah (detekce, dotazy proaktivního vyhledávání, sešity, analyzátory atd.).

Poznámka:

K ingestování dat CEF do Log Analytics se vyžaduje pracovní prostor Služby Microsoft Sentinel.

A–C

Název klíče CEF	Název pole CommonSecurityLog	Popis
akt	DeviceAction	Akce uvedená v události.
Aplikace	ApplicationProtocol	Protokol použitý v aplikaci, například HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS atd.
cat	DeviceEventCategory	Představuje kategorii přiřazenou původním zařízením. Zařízení často ke klasifikaci událostí používají vlastní schéma kategorizace. Například: `/Monitor/Disk/Read`.
Cnt	EventCount	Počet přidružený k události, který ukazuje, kolikrát byla zjištěna stejná událost.

D

Název klíče CEF	Název CommonSecurityLog	Popis
Dodavatel zařízení	DeviceVendor	Řetězec, který společně s definicemi produktů a verzí zařízení jednoznačně identifikuje typ odesílajícího zařízení.
Produkt zařízení	DeviceProduct	Řetězec, který společně s definicemi dodavatele zařízení a verze jednoznačně identifikuje typ odesílajícího zařízení.
Verze zařízení	DeviceVersion	Řetězec, který společně s definicemi produktů zařízení a dodavatelů jednoznačně identifikuje typ odesílajícího zařízení.
destinationDnsDomain	DestinationDnsDomain	Část DNS plně kvalifikovaného názvu domény (FQDN).
destinationServiceName	DestinationServiceName	Služba, která je cílem události. Například, `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	Identifikuje přeložený cíl, na který odkazuje událost v síti IP, jako IP adresu IPv4.
destinationTranslatedPort	DestinationTranslatedPort	Port po překladu, například bránu firewall. Platná čísla portů: `0` - `65535`
deviceDirection	CommunicationDirection	Veškeré informace o směru zjištěné komunikace. Platné hodnoty: - `0` = Příchozí - `1` = Odchozí
deviceDnsDomain	DeviceDnsDomain	Část domény DNS plně kvalifikovaného názvu domény (FQDN)
DeviceEventClassID	DeviceEventClassID	Řetězec nebo celé číslo, které slouží jako jedinečný identifikátor pro každý typ události.
deviceExternalId	deviceExternalId	Název, který jednoznačně identifikuje zařízení, které událost generuje.
deviceFacility	DeviceFacility	Zařízení, které událost generuje.
deviceInboundInterface	DeviceInboundInterface	Rozhraní, na kterém paket nebo data zadala zařízení.
deviceNtDomain	DeviceNtDomain	Doména Windows adresy zařízení
deviceOutboundInterface	DeviceOutboundInterface	Rozhraní, na kterém paket nebo data opustila zařízení.
devicePayloadId	DevicePayloadId	Jedinečný identifikátor datové části přidružené k události.
deviceProcessName	ProcessName	Název procesu přidružený k události. Například v systém UNIX proces generující položku syslogu.
deviceTranslatedAddress	DeviceTranslatedAddress	Identifikuje přeloženou adresu zařízení, na kterou událost odkazuje, v síti IP. Formát je adresa Ipv4.
dhost	DestinationHostName	Cíl, na který událost odkazuje v síti IP. Formát by měl být plně kvalifikovaný název domény přidružený k cílovému uzlu, pokud je uzel dostupný. Například `host.domain.com` nebo `host`.
dmac	DestinationMacAddress	Cílová adresa MAC (FQDN)
Dntdom	DestinationNTDomain	Název domény Systému Windows cílové adresy.
dpid	DestinationProcessId	ID cílového procesu přidruženého k události.
dpriv	DestinationUserPrivileges	Definuje oprávnění cílového použití. Platné hodnoty: `Admninistrator`, `UserGuest`
dproc	DestinationProcessName	Název cílového procesu události, například `telnetd` nebo `sshd.`
Dpt	DestinationPort	Cílový port. Platné hodnoty: `*0` - `65535`
Dst	DestinationIP	Cílová adresa IpV4, na kterou událost odkazuje v síti IP.
dtz	DeviceTimeZone	Časové pásmo zařízení, které generuje událost
duid	DestinationUserId	Identifikuje cílového uživatele podle ID.
duser	DestinationUserName	Identifikuje cílového uživatele podle jména.
dvc	DeviceAddress	Adresa IPv4 zařízení, které událost generuje.
dvchost	DeviceName	Plně kvalifikovaný název domény přidružený k uzlu zařízení, pokud je uzel k dispozici. Například `host.domain.com` nebo `host`.
dvcmac	DeviceMacAddress	Adresa MAC zařízení, které událost generuje.
dvcpid	Process ID	Definuje ID procesu v zařízení, které událost generuje.

E - I

Název klíče CEF	Název CommonSecurityLog	Popis
externalId	ExternalID	ID používané původním zařízením. Tyto hodnoty obvykle mají rostoucí hodnoty, které jsou přidružené k události.
fileCreateTime	FileCreateTime	Čas vytvoření souboru
fileHash	FileHash	Hodnota hash souboru
fileId	ID souboru	ID přidružené k souboru, například inode.
fileModificationTime	FileModificationTime	Čas poslední změny souboru
Filepath	Filepath	Úplná cesta k souboru, včetně názvu souboru. Například: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` nebo `/usr/bin/zip`.
filePermission	FilePermission	Oprávnění k souboru.
Filetype	Filetype	Typ souboru, například potrubí, soket atd.
Fname	FileName	Název souboru bez cesty.
fsize	Velikost	Velikost souboru.
Hostitelský počítač	Počítač	Host, from Syslog
in	ReceivedBytes	Počet bajtů přenesených příchozími přenosy

M – P

Název klíče CEF	Název CommonSecurityLog	Popis
msg	Message	Zpráva s dalšími podrobnostmi o události.
Název	Aktivita	Řetězec, který představuje čitelný a srozumitelný popis události.
oldFileCreateTime	OldFileCreateTime	Čas vytvoření starého souboru
oldFileHash	OldFileHash	Hodnota hash starého souboru
oldFileId	OldFileId	A ID přidružené ke starému souboru, například inode.
oldFileModificationTime	OldFileModificationTime	Čas poslední změny starého souboru
oldFileName	OldFileName	Název starého souboru.
oldFilePath	OldFilePath	Úplná cesta k původnímu souboru, včetně názvu souboru. Například `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` nebo `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Oprávnění starého souboru.
oldFileSize	OldFileSize	Velikost starého souboru.
oldFileType	OldFileType	Typ souboru starého souboru, například potrubí, soket atd.
out	SentBytes	Počet bajtů přenesených odchozích přenosů
výsledek	EventOutcome	Výsledek události, například `success` nebo `failure`.
proto	Protokol	Přenosový protokol, který identifikuje použitý protokol vrstvy 4. Možné hodnoty zahrnují názvy protokolů, například `TCP` nebo `UDP`.

R–T

Název klíče CEF	Název CommonSecurityLog	Popis
reason	Důvod	Důvod vygenerování události auditu. Například `badd password` nebo `unknown user`. Může se jednat také o chybu nebo návratový kód. Například: `0x1234`.
Požádat	RequestURL	Adresa URL přístupná k požadavku HTTP, včetně protokolu. Například `http://www/secure.com`
requestClientApplication	RequestClientApplication	Uživatelský agent přidružený k požadavku.
Requestcontext	Requestcontext	Popisuje obsah, ze kterého požadavek pochází, například referrer HTTP.
requestCookies	RequestCookies	Soubory cookie přidružené k žádosti.
requestMethod	RequestMethod	Metoda použitá pro přístup k adrese URL. Platné hodnoty zahrnují metody, jako `POST`je například , `GET`atd.
Rt	ReceiptTime	Čas přijetí události související s aktivitou.
Závažnost	LogSeverity	Řetězec nebo celé číslo, které popisuje důležitost události. Platné řetězcové hodnoty: `Unknown` , `Low`, `Medium`, `HighVery-High` Platné celočíselné hodnoty jsou: - `0`-`3` = Nízká - `4`-`6` = Střední - `7`-`8` = Vysoká - `9`-`10` = Velmi vysoká
shost	SourceHostName	Identifikuje zdroj, na který událost odkazuje v síti IP. Formát by měl být plně kvalifikovaný název domény (DQDN) přidružený ke zdrojovému uzlu, pokud je uzel k dispozici. Například `host` nebo `host.domain.com`.
smac	SourceMacAddress	Zdrojová adresa MAC.
sntdom	SourceNTDomain	Název domény Systému Windows pro zdrojovou adresu.
sourceDnsDomain	SourceDnsDomain	Část domény DNS kompletního plně kvalifikovaného názvu domény.
sourceServiceName	SourceServiceName	Služba zodpovědná za generování události.
sourceTranslatedAddress	SourceTranslatedAddress	Identifikuje přeložený zdroj, na který událost odkazuje v síti IP.
sourceTranslatedPort	SourceTranslatedPort	Zdrojový port po překladu, jako je brána firewall. Platná čísla portů jsou `0` - `65535`.
Spid	SourceProcessId	ID zdrojového procesu přidruženého k události.
spriv	SourceUserPrivileges	Oprávnění zdrojového uživatele. Mezi platné hodnoty patří: `Administrator`, `UserGuest`
sproc	SourceProcessName	Název zdrojového procesu události.
Spt	SourcePort	Číslo zdrojového portu. Platná čísla portů jsou `0` - `65535`.
src	Zdrojová IP adresa	Zdroj, na který událost odkazuje v síti IP, jako adresa IPv4.
Suid	SourceUserID	Identifikuje zdrojového uživatele podle ID.
suser	SourceUserName	Identifikuje zdrojového uživatele podle jména.
type	Typ události	Typ události. Mezi hodnoty patří: - `0`: základní událost - `1`:Agregované - `2`: korelace – událost - `3`: událost akce Poznámka: Tuto událost je možné vynechat pro základní události.

Vlastní pole

Následující tabulky mapují názvy klíčů CEF a polí CommonSecurityLog, která mají zákazníci k dispozici pro data, která se nevztahují na žádná z předdefinovaných polí.

Vlastní pole adresy IPv6

Následující tabulka mapuje názvy klíčů CEF a CommonSecurityLog pro pole adres IPv6 , která jsou k dispozici pro vlastní data.

Název klíče CEF	Název CommonSecurityLog
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Vlastní číselná pole

Následující tabulka mapuje názvy klíčů CEF a CommonSecurityLog pro číselná pole dostupná pro vlastní data.

Název klíče CEF	Název CommonSecurityLog
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Vlastní pole řetězců

Následující tabulka mapuje názvy klíčů CEF a CommonSecurityLog pro pole řetězců , která jsou k dispozici pro vlastní data.

Název klíče CEF	Název CommonSecurityLog
cs1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
Cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
Cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Tip

¹ Pokud je to možné, doporučujeme používat pole DeviceCustomString střídmě a používat konkrétnější předdefinovaná pole.

Vlastní pole časového razítka

Následující tabulka mapuje názvy klíčů CEF a CommonSecurityLog pro pole časového razítka , která jsou k dispozici pro vlastní data.

Název klíče CEF	Název CommonSecurityLog
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Vlastní celočíselná datová pole

Následující tabulka mapuje názvy klíčů CEF a CommonSecurityLog pro celočíselná pole dostupná pro vlastní data.

Název klíče CEF	Název CommonSecurityLog
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Pole rozšiřování

Microsoft Sentinel přidá následující pole CommonSecurityLog , která obohacují původní události přijaté ze zdrojových zařízení a nemají mapování v klíčích CEF:

Pole analýzy hrozeb

Název pole CommonSecurityLog	Popis
IndicatorThreatType	Typ hrozby ŠkodlivýIP podle informačního kanálu analýzy hrozeb.
ŠkodlivýIP	Zobrazí seznam všech IP adres ve zprávě, které korelují s aktuálním informačním kanálem analýzy hrozeb.
MaliciousIPCountry	Země nebo oblast ŠkodlivéhoIP podle geografických informací v době příjmu záznamů.
Zlými úmysly	Zeměpisná délka ŠkodlivéHOIP podle zeměpisných informací v době příjmu záznamů.
ŠkodlivýIPLongitude	Zeměpisná délka ŠkodlivéHOIP podle zeměpisných informací v době příjmu záznamů.
ReportReferenceLink	Odkaz na sestavu analýzy hrozeb
ThreatConfidence	Spolehlivost škodlivých IP hrozeb podle informačního kanálu analýzy hrozeb.
ThreatDescription	Popis hrozby ŠkodlivýIP podle informačního kanálu analýzy hrozeb.
Ohrožení bez ohledu na hrozby	Závažnost hrozby pro škodlivý IP kód v závislosti na informačním kanálu analýzy hrozeb v době příjmu záznamů.

Další pole rozšiřování

Název pole CommonSecurityLog	Popis
OriginalLogSeverity	Vždy prázdné, podporované pro integraci s CiscoASA. Podrobnosti o hodnotách závažnosti protokolu najdete v poli LogSeverity .
RemoteIP	Vzdálená IP adresa. Tato hodnota je založena na poli CommunicationDirection , pokud je to možné.
RemotePort	Vzdálený port. Tato hodnota je založena na poli CommunicationDirection , pokud je to možné.
SimplifiedDeviceAction	Zjednodušuje hodnotu DeviceAction na statickou sadu hodnot a přitom zachovává původní hodnotu v poli DeviceAction. Například: `Denied`>`Deny`.
SourceSystem	Vždy definované jako OpsManager.

Další kroky