CEF- und CommonSecurityLog-Feldzuordnung

In den folgenden Tabellen werden CEF-Feldnamen (Common Event Format) den Namen zugeordnet, die sie in commonSecurityLog von Microsoft Sentinel verwenden. Dies kann hilfreich sein, wenn Sie mit einer CEF-Datenquelle in Microsoft Sentinel arbeiten. Weitere Informationen finden Sie unter Erfassen von Syslog- und CEF-Nachrichten zum Microsoft Sentinel mit dem Azure Monitor-Agent.

A – C

CEF-Schlüsselname CommonSecurityLog-Feldname Beschreibung
Handeln DeviceAction Die im Ereignis erwähnte Aktion.
App ApplicationProtocol Das in der Anwendung verwendete Protokoll, z. B. HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS usw.
Katze DeviceEventCategory Stellt die Kategorie dar, die vom ursprünglichen Gerät zugewiesen wird. Geräte verwenden häufig ein eigenes Kategorisierungsschema zum Klassifizieren von Ereignissen. Beispiel: /Monitor/Disk/Read.
Cnt EventCount Eine dem Ereignis zugeordnete Anzahl, die angibt, wie oft dasselbe Ereignis beobachtet wurde.

D

CEF-Schlüsselname CommonSecurityLog-Name Beschreibung
Gerätehersteller DeviceVendor Zeichenfolge, die zusammen mit Geräteprodukt- und Versionsdefinitionen den Typ des sendenden Geräts eindeutig identifiziert.
Geräteprodukt DeviceProduct Zeichenfolge, die zusammen mit Gerätehersteller- und Versionsdefinitionen den Typ des sendenden Geräts eindeutig identifiziert.
Geräteversion DeviceVersion Zeichenfolge, die zusammen mit Geräteprodukt- und Herstellerdefinitionen den Typ des sendenden Geräts eindeutig identifiziert.
destinationDnsDomain DestinationDnsDomain Der DNS-Teil des vollqualifizierten Domänennamens (FQDN).
destinationServiceName DestinationServiceName Der Dienst, auf den das Ereignis abzielt. Beispiel: sshd.
destinationTranslatedAddress DestinationTranslatedAddress Identifiziert das übersetzte Ziel, auf das das Ereignis in einem IP-Netzwerk verweist, als IPv4-IP-Adresse.
destinationTranslatedPort DestinationTranslatedPort Port nach der Übersetzung, z. B. eine Firewall.
Gültige Portnummern: 0 - 65535
deviceDirection CommunicationDirection Alle Informationen über die Richtung, die die beobachtete Kommunikation eingeschlagen hat. Gültige Werte:
- 0 = Eingehend
- 1 = Ausgehend
deviceDnsDomain DeviceDnsDomain Der DNS-Domänenteil des vollqualifizierten Domänennamens (FQDN)
DeviceEventClassID DeviceEventClassID Zeichenfolge oder ganze Zahl, die pro Ereignistyp als eindeutiger Bezeichner dient.
deviceExternalId deviceExternalId Ein Name, der das Gerät, das das Ereignis generiert, eindeutig identifiziert.
deviceFacility DeviceFacility Die Einrichtung, die das Ereignis generiert.
deviceInboundInterface DeviceInboundInterface Die Schnittstelle, über die das Paket oder die Daten in das Gerät gelangt sind.
deviceNtDomain DeviceNtDomain Die Windows-Domäne der Geräteadresse
deviceOutboundInterface DeviceOutboundInterface Schnittstelle, auf der das Paket oder die Daten das Gerät verlassen haben.
devicePayloadId DevicePayloadId Eindeutiger Bezeichner für die Nutzlast, die dem Ereignis zugeordnet ist.
deviceProcessName ProcessName Prozessname, der dem Ereignis zugeordnet ist.

In UNIX beispielsweise der Prozess, der den Syslog-Eintrag generiert.
deviceTranslatedAddress DeviceTranslatedAddress Identifiziert die übersetzte Geräteadresse, auf die sich das Ereignis in einem IP-Netzwerk bezieht.

Das Format ist eine Ipv4-Adresse.
dhost DestinationHostName Das Ziel, auf das sich das Ereignis in einem IP-Netzwerk bezieht.
Das Format sollte ein FQDN sein, der dem Zielknoten zugeordnet ist, wenn ein Knoten verfügbar ist. Zum Beispiel host.domain.com oder host.
Dmac DestinationMacAddress Die ZIEL-MAC-Adresse (FQDN)
dntdom DestinationNTDomain Der Windows-Domänenname der Zieladresse.
dpid DestinationProcessId Die ID des Zielprozesses, der dem Ereignis zugeordnet ist.
dpriv DestinationUserPrivileges Definiert die Berechtigungen der Zielverwendung.
Gültige Werte: Administrator, User, Guest
dproc DestinationProcessName Der Name des Zielprozesses des Ereignisses, z telnetd . B. oder sshd.
Dpt DestinationPort Zielport.
Gültige Werte: *0 - 65535
Dst DestinationIP Die IpV4-Zieladresse, auf die das Ereignis in einem IP-Netzwerk verweist.
Dtz DeviceTimeZone Zeitzone des Geräts, das das Ereignis generiert
duid DestinationUserId Identifiziert den Zielbenutzer anhand der ID.
duser DestinationUserName Identifiziert den Zielbenutzer anhand des Namens.
Dvc DeviceAddress Die IPv4-Adresse des Geräts, das das Ereignis generiert.
dvchost DeviceName Der dem Geräteknoten zugeordnete FQDN, wenn ein Knoten verfügbar ist. Zum Beispiel host.domain.com oder host.
dvcmac DeviceMacAddress Die MAC-Adresse des Geräts, das das Ereignis generiert.
dvcpid Prozess-ID Definiert die ID des Prozesses auf dem Gerät, das das Ereignis generiert.

E - I

CEF-Schlüsselname CommonSecurityLog-Name Beschreibung
externalId ExternalID Eine id, die vom ursprünglichen Gerät verwendet wird. In der Regel verfügen diese Werte über steigende Werte, die jeweils einem Ereignis zugeordnet sind.
fileCreateTime FileCreateTime Zeitpunkt, zu dem die Datei erstellt wurde.
fileHash FileHash Hash einer Datei.
fileId FileID Eine ID, die einer Datei zugeordnet ist, z. B. die -Inode.
fileModificationTime FileModificationTime Zeitpunkt, zu dem die Datei zuletzt geändert wurde.
Filepath FilePath Vollständiger Pfad zur Datei, einschließlich des Dateinamens. Zum Beispiel C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe oder /usr/bin/zip.
filePermission FilePermission Die Berechtigungen der Datei.
Filetype FileType Dateityp, z. B. Pipe, Socket usw.
Fname FileName Der Name der Datei, ohne den Pfad.
fsize FileSize Die Größe der Datei.
Host Computer Host, aus Syslog
in ReceivedBytes Anzahl der eingehenden übertragenen Bytes.

M - P

CEF-Schlüsselname CommonSecurityLog-Name Beschreibung
MSG Nachricht Eine Meldung, die weitere Details zum Ereignis enthält.
Name Aktivität Eine Zeichenfolge, die eine lesbare und verständliche Beschreibung des Ereignisses darstellt.
oldFileCreateTime OldFileCreateTime Zeitpunkt, zu dem die alte Datei erstellt wurde.
oldFileHash OldFileHash Hash der alten Datei.
oldFileId OldFileId Und die ID, die der alten Datei zugeordnet ist, z. B. die Inode.
oldFileModificationTime OldFileModificationTime Zeitpunkt, zu dem die alte Datei zuletzt geändert wurde.
oldFileName OldFileName Name der alten Datei.
oldFilePath OldFilePath Vollständiger Pfad zur alten Datei, einschließlich des Dateinamens.
Zum Beispiel C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe oder /usr/bin/zip.
oldFilePermission OldFilePermission Berechtigungen der alten Datei.
oldFileSize OldFileSize Größe der alten Datei.
oldFileType OldFileType Dateityp der alten Datei, z. B. Pipe, Socket usw.
out SentBytes Anzahl der ausgehend übertragenen Bytes.
Ergebnis EventOutcome Ergebnis des Ereignisses, z success . B. oder failure.
Proto Protokoll Transportprotokoll, das das verwendete Layer-4-Protokoll identifiziert.

Mögliche Werte sind Protokollnamen wie TCP oder UDP.

R - T

CEF-Schlüsselname CommonSecurityLog-Name Beschreibung
reason Grund Der Grund, warum ein Überwachungsereignis generiert wurde. Zum Beispiel badd password oder unknown user. Dies kann auch ein Fehler oder ein Rückgabecode sein. Beispiel: 0x1234.
Anforderung RequestURL Die URL, auf die für eine HTTP-Anforderung zugegriffen wird, einschließlich des Protokolls. Beispiel: http://www/secure.com
requestClientApplication RequestClientApplication Der der Anforderung zugeordnete Benutzer-Agent.
Requestcontext RequestContext Beschreibt den Inhalt, aus dem die Anforderung stammt, z. B. der HTTP-Referrer.
requestCookies RequestCookies Der Anforderung zugeordnete Cookies.
requestMethod RequestMethod Die Methode, die für den Zugriff auf eine URL verwendet wird.

Gültige Werte sind Methoden wie POST, GETusw.
Rt ReceiptTime Der Zeitpunkt, zu dem das Ereignis im Zusammenhang mit der Aktivität empfangen wurde.
Severity Logseverity Eine Zeichenfolge oder ganze Zahl, die die Wichtigkeit des Ereignisses beschreibt.

Gültige Zeichenfolgenwerte: Unknown , Low, Medium, High, , Very-High

Gültige ganzzahlige Werte sind:
- 0 - 3 = Niedrig
- 4 - 6 = Mittel
- 7 - 8 = Hoch
- 9 - 10 = Very-High
shost SourceHostName Identifiziert die Quelle, auf die das Ereignis in einem IP-Netzwerk verweist. Das Format sollte ein vollqualifizierter Domänenname (FQDN) sein, der dem Quellknoten zugeordnet ist, wenn ein Knoten verfügbar ist. Zum Beispiel host oder host.domain.com.
smac SourceMacAddress Mac-Quelladresse.
sntdom SourceNTDomain Der Windows-Domänenname für die Quelladresse.
sourceDnsDomain SourceDnsDomain Der DNS-Domänenteil des vollständigen FQDNs.
sourceServiceName SourceServiceName Der Dienst, der für die Generierung des Ereignisses verantwortlich ist.
sourceTranslatedAddress SourceTranslatedAddress Identifiziert die übersetzte Quelle, auf die das Ereignis in einem IP-Netzwerk verweist.
sourceTranslatedPort SourceTranslatedPort Quellport nach der Übersetzung, z. B. eine Firewall.
Gültige Portnummern sind 0 - 65535.
Spid SourceProcessId Die ID des Quellprozesses, der dem Ereignis zugeordnet ist.
spriv SourceUserPrivileges Die Berechtigungen des Quellbenutzers.

Gültige Werte sind: Administrator, User, Guest
Sproc SourceProcessName Der Name des Quellprozesses des Ereignisses.
Spt SourcePort Die Quellportnummer.
Gültige Portnummern sind 0 - 65535.
src SourceIP Die Quelle, auf die ein Ereignis in einem IP-Netzwerk verweist, als IPv4-Adresse.
Suid SourceUserID Identifiziert den Quellbenutzer anhand der ID.
suser SourceUserName Identifiziert den Quellbenutzer anhand des Namens.
type EventType Ereignistyp. Zu den Wertwerten gehören:
- 0: Basisereignis
- 1:Aggregierte
- 2: Korrelationsereignis
- 3: Action-Ereignis

Hinweis: Dieses Ereignis kann für Basisereignisse ausgelassen werden.

Benutzerdefinierte Felder

In den folgenden Tabellen sind die Namen von CEF-Schlüsseln und CommonSecurityLog-Feldern aufgeführt, die Kunden für Daten verwenden können, die für keines der integrierten Felder gelten.

Benutzerdefinierte IPv6-Adressfelder

In der folgenden Tabelle sind CEF-Schlüssel und CommonSecurityLog-Namen für die IPv6-Adressfelder aufgeführt, die für benutzerdefinierte Daten verfügbar sind.

CEF-Schlüsselname CommonSecurityLog-Name
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
cfp1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
cfp2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
cfp3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
cfp4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

Benutzerdefinierte Zahlenfelder

In der folgenden Tabelle sind CEF-Schlüssel- und CommonSecurityLog-Namen für die Zahlenfelder zugeordnet, die für benutzerdefinierte Daten verfügbar sind.

CEF-Schlüsselname CommonSecurityLog-Name
Cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

Benutzerdefinierte Zeichenfolgenfelder

In der folgenden Tabelle sind CEF-Schlüssel und CommonSecurityLog-Namen für die Zeichenfolgenfelder zugeordnet, die für benutzerdefinierte Daten verfügbar sind.

CEF-Schlüsselname CommonSecurityLog-Name
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
Cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Tipp

1 Es wird empfohlen, die DeviceCustomString-Felder sparsam und nach Möglichkeit spezifischere integrierte Felder zu verwenden.

Benutzerdefinierte Zeitstempelfelder

In der folgenden Tabelle sind CEF-Schlüssel und CommonSecurityLog-Namen für die Zeitstempelfelder aufgeführt, die für benutzerdefinierte Daten verfügbar sind.

CEF-Schlüsselname CommonSecurityLog-Name
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

Benutzerdefinierte ganzzahlige Datenfelder

In der folgenden Tabelle werden CEF-Schlüssel- und CommonSecurityLog-Namen für die ganzzahligen Felder zugeordnet, die für benutzerdefinierte Daten verfügbar sind.

CEF-Schlüsselname CommonSecurityLog-Name
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

Anreicherungsfelder

Die folgenden CommonSecurityLog-Felder werden von Microsoft Sentinel hinzugefügt, um die ursprünglichen Ereignisse anzureichern, die von den Quellgeräten empfangen wurden, und weisen keine Zuordnungen in CEF-Schlüsseln auf:

Threat Intelligence-Felder

CommonSecurityLog-Feldname Beschreibung
IndicatorThreatType Der MaliciousIP-Bedrohungstyp gemäß dem Threat Intelligence-Feed.
MaliciousIP Listet alle IP-Adressen in der Nachricht auf, die mit dem aktuellen Threat Intelligence-Feed korrelieren.
MaliciousIPCountry Das MaliciousIP-Land /die -Region gemäß den geografischen Informationen zum Zeitpunkt der Aufzeichnungserfassung.
MaliciousIPLatitude Der MaliciousIP-Längengrad gemäß den geografischen Informationen zum Zeitpunkt der Datensatzerfassung.
MaliciousIPLongitude Der MaliciousIP-Längengrad gemäß den geografischen Informationen zum Zeitpunkt der Datensatzerfassung.
ReportReferenceLink Link zum Threat Intelligence-Bericht.
ThreatConfidence Die MaliciousIP-Bedrohungszuversicht gemäß dem Threat Intelligence-Feed.
ThreatDescription Die MaliciousIP-Bedrohungsbeschreibung gemäß dem Threat Intelligence-Feed.
ThreatSeverity Der Bedrohungsschweregrad für das MaliciousIP gemäß dem Threat Intelligence-Feed zum Zeitpunkt der Datensatzerfassung.

Andere Anreicherungsfelder

CommonSecurityLog-Feldname Beschreibung
OriginalLogSeverity Immer leer, unterstützt für die Integration in CiscoASA.
Ausführliche Informationen zu Protokollschweregradwerten finden Sie im Feld LogSeverity .
RemoteIP Die Remote-IP-Adresse.
Dieser Wert basiert nach Möglichkeit auf dem CommunicationDirection-Feld .
RemotePort Der Remoteport.
Dieser Wert basiert nach Möglichkeit auf dem CommunicationDirection-Feld .
SimplifiedDeviceAction Vereinfacht den DeviceAction-Wert in einen statischen Satz von Werten, während der ursprüngliche Wert im Feld DeviceAction beibehalten wird.
Beispiel: Denied>Deny.
SourceSystem Immer als OpsManager definiert.

Verwandte Inhalte

  • Last updated on