Asignación de campos de CEF y CommonSecurityLog

Artículo
06/01/2023

En las tablas siguientes se asignan nombres de campo de Common Event Format (CEF) a los nombres que usan en el CommonSecurityLog de Microsoft Sentinel y pueden resultar útiles cuando se trabaja con un origen de datos de CEF en Microsoft Sentinel.

Para obtener más información, consulte Conexión de la solución externa con el formato de evento común.

Importante

El 28 de febrero de 2023 introdujimos cambios en el esquema de la tabla CommonSecurityLog. Después de este cambio, es posible que tenga que revisar y actualizar consultas personalizadas. Para obtener más información, consulte la sección de acciones recomendadas en esta entrada de blog. Microsoft Sentinel ha actualizado el contenido preconfigurado (detecciones, consultas de búsqueda, libros, analizadores, etc.).

Nota

Se requiere un área de trabajo de Microsoft Sentinel para ingerir datos CEF en Log Analytics.

A - C

Nombre la de clave CEF	Nombre del campo CommonSecurityLog	Descripción
act	DeviceAction	La acción mencionada en el evento.
app	ApplicationProtocol	Protocolo usado en la aplicación, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, etc.
cat	DeviceEventCategory	Representa la categoría asignada por el dispositivo de origen. Los dispositivos suelen usar su propio esquema de categorización para clasificar eventos. Por ejemplo: `/Monitor/Disk/Read`.
cnt	EventCount	Un recuento asociado al evento, que muestra el número de veces que se observó el mismo evento.

D

Nombre la de clave CEF	Nombre CommonSecurityLog	Descripción
Proveedor del dispositivo	DeviceVendor	Cadena que, junto con las definiciones de versión y producto del dispositivo, identifica de forma única el tipo de dispositivo de envío.
Producto del dispositivo	DeviceProduct	Cadena que, junto con las definiciones de versión y proveedor del dispositivo, identifica de forma única el tipo de dispositivo de envío.
Versión del dispositivo	DeviceVersion	Cadena que, junto con las definiciones de proveedor y producto del dispositivo, identifica de forma única el tipo de dispositivo de envío.
destinationDnsDomain	DestinationDnsDomain	Elemento DNS del nombre de dominio completo (FQDN).
destinationServiceName	DestinationServiceName	Servicio que la etiqueta tiene como evento. Por ejemplo, `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	Identifica el destino traducido al que hace referencia el evento en una red IP, como una dirección IP IPv4.
destinationTranslatedPort	DestinationTranslatedPort	Puerto, después de la traducción, como un firewall. Números de Puerto válidos: `0` - `65535`
deviceDirection	CommunicationDirection	Cualquier información sobre la dirección que ha tomado la comunicación observada. Valores válidos: - `0` = Entrante - `1` = Salida
deviceDnsDomain	DeviceDnsDomain	Elemento del dominio DNS del nombre de dominio completo (FQDN)
DeviceEventClassID	DeviceEventClassID	Cadena o entero que actúa como identificador único por tipo de evento.
deviceExternalId	deviceExternalId	Nombre que identifica de forma única el dispositivo que genera el evento.
deviceFacility	DeviceFacility	Dispositivo que genera el evento.
deviceInboundInterface	DeviceInboundInterface	Interfaz en la que el paquete o los datos entran en el dispositivo.
deviceNtDomain	DeviceNtDomain	El dominio de Windows de la dirección del dispositivo
deviceOutboundInterface	DeviceOutboundInterface	Interfaz en la que el paquete o los datos entran en el dispositivo.
devicePayloadId	DevicePayloadId	Identificador único de la carga asociada al evento.
deviceProcessName	ProcessName	Nombre del proceso asociado al evento. Por ejemplo, en UNIX, proceso que genera la entrada de syslog.
deviceTranslatedAddress	DeviceTranslatedAddress	Identifica la dirección de dispositivo traducida a la que hace referencia el evento, en una red IP. El formato es una dirección IPv4.
dhost	DestinationHostName	Destino al que hace referencia el evento en una red IP. El formato debe ser un FQDN asociado al nodo de destino, cuando un nodo está disponible. Por ejemplo, `host.domain.com` o `host`.
dmac	DestinationMacAddress	Dirección MAC de destino (FQDN)
dntdom	DestinationNTDomain	Nombre de dominio de Windows de la dirección de destino.
dpid	DestinationProcessId	Id. proceso de destino asociado al evento.
dpriv	DestinationUserPrivileges	Define los privilegios del uso de destino. Valores válidos: `Admninistrator`, `User` y `Guest`
dproc	DestinationProcessName	Nombre del proceso de destino del evento, como `telnetd` o `sshd.`
dpt	DestinationPort	Puerto de destino. Valores válidos: `*0` - `65535`
dst	DestinationIP	Dirección IpV4 de destino a la que hace referencia el evento en una red IP.
dtz	DeviceTimeZone	Zona horaria del dispositivo que genera el evento
duid	DestinationUserId	Identifica el usuario de destino por id.
duser	DestinationUserName	Identifica el usuario de destino por nombre.
dvc	DeviceAddress	Dirección IPv4 del dispositivo que genera el evento.
dvchost	DeviceName	El FQDN asociado al nodo del dispositivo, cuando un nodo está disponible. Por ejemplo, `host.domain.com` o `host`.
dvcmac	DeviceMacAddress	Dirección MAC del dispositivo que genera el evento.
dvcpid	Identificador del proceso	Define el identificador del proceso en el dispositivo que genera el evento.

E-I

Nombre la de clave CEF	Nombre CommonSecurityLog	Descripción
externalId	ExternalID	Un id. usado por el dispositivo de origen. Normalmente, estos valores tienen valores crecientes que están asociados a un evento.
fileCreateTime	FileCreateTime	Hora a la que se creó el archivo.
fileHash	FileHash	Hash de un archivo.
fileId	FileID	Un id. asociado a un archivo, como el inode.
fileModificationTime	FileModificationTime	Hora a la que se modificó el archivo por última vez.
filePath	FilePath	Ruta de acceso completa del archivo, incluido el nombre de archivo. Por ejemplo, `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` o `/usr/bin/zip`.
filePermission	FilePermission	Permisos del archivo.
fileType	FileType	Tipo de archivo, como canalización, socket, etc.
fname	FileName	Nombre del archivo, sin la ruta de acceso.
fsize	FileSize	Tamaño del archivo.
Host	Computer	Host, desde Syslog
in	ReceivedBytes	Número de bytes transferidos de entrada.

M-P

Nombre la de clave CEF	Nombre CommonSecurityLog	Descripción
msg	Message	Un mensaje que proporciona más detalles sobre el evento.
Nombre	Actividad	Cadena que representa una descripción inteligible y comprensible del evento.
oldFileCreateTime	OldFileCreateTime	Hora a la que se creó el archivo anterior.
oldFileHash	OldFileHash	Hash del archivo anterior.
oldFileId	OldFileId	Y el identificador asociado al archivo anterior, como el inode.
oldFileModificationTime	OldFileModificationTime	Hora a la que se modificó el archivo anterior por última vez.
oldFileName	OldFileName	Nombre del archivo anterior.
oldFilePath	OldFilePath	Ruta de acceso completa del archivo anterior, incluido el nombre de archivo. Por ejemplo, `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` o `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Permisos del archivo anterior.
oldFileSize	OldFileSize	Tamaño del archivo anterior.
oldFileType	OldFileType	Tipo de archivo del archivo anterior, como una canalización, un socket, etc.
out	SentBytes	Número de bytes transferidos de salida.
outcome	EventOutcome	Resultado del evento, como `success` o `failure`.
proto	Protocolo	Protocolo de transporte que identifica el protocolo de nivel 4 utilizado. Los valores posibles incluyen nombres de protocolo, como `TCP` o `UDP`.

R-T

Nombre la de clave CEF	Nombre CommonSecurityLog	Descripción
reason	Motivo	Motivo por el que se generó un evento de auditoría. Por ejemplo, `badd password` o `unknown user`. Esto también podría ser un error o un código de retorno. Por ejemplo: `0x1234`.
Request	RequestURL	Dirección URL a la que se tiene acceso para una solicitud HTTP, incluido el protocolo. Por ejemplo: `http://www/secure.com`
requestClientApplication	RequestClientApplication	Agente de usuario asociado a la solicitud.
requestContext	RequestContext	Describe el contenido desde el que se originó la solicitud, como el origen de referencia HTTP.
requestCookies	RequestCookies	Cookies asociadas a la solicitud.
requestMethod	RequestMethod	Método utilizado para tener acceso a una dirección URL. Los valores válidos incluyen métodos como `POST`, `GET`, etc.
rt	ReceiptTime	La hora a la que finalizó el evento relacionado con la actividad que se recibió.
Gravedad	LogSeverity	Cadena o entero que describe la importancia del evento. Valores de cadena válidos: `Unknown` , `Low`, `Medium`, `High` y `Very-High` Los valores de entero válidos son: - `0`-`3` = Bajo - `4`-`6` = Medio - `7`-`8` = Alto - `9`-`10` = Muy alto
shost	SourceHostName	Identifica el origen al que hace referencia el evento en una red IP. El formato debe ser un nombre de dominio completo (DQDN) asociado al nodo de origen, cuando un nodo está disponible. Por ejemplo, `host` o `host.domain.com`.
smac	SourceMacAddress	Dirección MAC de origen.
sntdom	SourceNTDomain	Nombre de dominio de Windows para la dirección de origen.
sourceDnsDomain	SourceDnsDomain	Elemento del dominio DNS del FQDN completo.
sourceServiceName	SourceServiceName	Servicio responsable de generar el evento.
sourceTranslatedAddress	SourceTranslatedAddress	Identifica el origen traducido al que hace referencia el evento, en una red IP.
sourceTranslatedPort	SourceTranslatedPort	Puerto de origen después de la traducción, como un firewall. Los números de puerto válidos son `0` - `65535`.
spid	SourceProcessId	Id. del proceso de origen asociado al evento.
spriv	SourceUserPrivileges	Privilegios del usuario de origen. Los valores válidos incluyen: `Administrator`, `User` y `Guest`
sproc	SourceProcessName	Nombre del proceso de origen del evento.
spt	SourcePort	Número de puerto de origen. Los números de puerto válidos son `0` - `65535`.
src	SourceIP	Origen al que hace referencia un evento en una red IP, como una dirección IPv4.
suid	SourceUserID	Identifica el usuario de origen por identificador.
suser	SourceUserName	Identifica el usuario de origen por nombre.
type	EventType	Tipo de evento. Los valores de valor incluyen: - `0`: evento base - `1`: agregado - `2`: eventos de correlación - `3`: evento de acción Nota: este evento se puede omitir para los eventos base.

Custom Fields

En las tablas siguientes se asignan los nombres de las claves CEF y los campos CommonSecurityLog que están disponibles para que los clientes los usen para los datos que no se aplican a ninguno de los campos integrados.

Campos de dirección IPv6 personalizados

En la tabla siguiente se asigna la clave CEF y los nombres de CommonSecurityLog para los campos de dirección IPv6 disponibles para los datos personalizados.

Nombre la de clave CEF	Nombre CommonSecurityLog
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Campos de número personalizados

En la tabla siguiente se asigna la clave CEF y los nombres de CommonSecurityLog para los campos de número disponibles para los datos personalizados.

Nombre la de clave CEF	Nombre CommonSecurityLog
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Campos de cadena personalizados

En la tabla siguiente se asigna la clave CEF y los nombres de CommonSecurityLog para los campos de cadena disponibles para los datos personalizados.

Nombre la de clave CEF	Nombre CommonSecurityLog
cs1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Sugerencia

¹ Se recomienda usar los campos DeviceCustomString con moderación y usar campos integrados más específicos cuando sea posible.

Campos de marca de tiempo personalizados

En la tabla siguiente se asigna la clave CEF y los nombres de CommonSecurityLog para los campos de marca de tiempo disponibles para los datos personalizados.

Nombre la de clave CEF	Nombre CommonSecurityLog
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Campos de datos enteros personalizados

En la tabla siguiente se asigna la clave CEF y los nombres de CommonSecurityLog para los campos de enteros disponibles para los datos personalizados.

Nombre la de clave CEF	Nombre CommonSecurityLog
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Campos de enriquecimiento

Los siguientes campos commonSecurityLog se agregan mediante Microsoft Sentinel para enriquecer los eventos originales recibidos de los dispositivos de origen, y no tienen asignaciones en las claves CEF:

Campos de inteligencia sobre amenazas

Nombre del campo CommonSecurityLog	Descripción
IndicatorThreatType	El tipo de amenaza de MaliciousIP, según la fuente de inteligencia sobre amenazas.
MaliciousIP	Enumera las direcciones IP del mensaje que se correlacionan con la fuente de inteligencia sobre amenazas actual.
MaliciousIPCountry	El país o región de MaliciousIP, según la información geográfica en el momento de la ingesta de registros.
MaliciousIPLatitude	La longitud de MaliciousIP, según la información geográfica en el momento de la ingesta de registros.
MaliciousIPLongitude	La longitud de MaliciousIP, según la información geográfica en el momento de la ingesta de registros.
ReportReferenceLink	Vínculo al informe de inteligencia sobre amenazas.
ThreatConfidence	La confianza de la amenaza MaliciousIP, según la fuente de inteligencia sobre amenazas.
ThreatDescription	La descripción de MaliciousIP, según la fuente de inteligencia sobre amenazas.
ThreatSeverity	La gravedad de la amenaza para MaliciousIP, según la fuente de inteligencia sobre amenazas en el momento de la ingesta de registros.

Campos de enriquecimiento adicionales

Nombre del campo CommonSecurityLog	Descripción
OriginalLogSeverity	Siempre está vacío, compatible para la integración con CiscoASA. Para obtener más información sobre los valores de gravedad del registro, vea el campo LogSeverity.
RemoteIP	Dirección IP remota. Este valor se basa en el campo CommunicationDirection, si es posible.
RemotePort	Puerto remoto. Este valor se basa en el campo CommunicationDirection, si es posible.
SimplifiedDeviceAction	Simplifica el valor de DeviceAction a un conjunto estático de valores, manteniendo el valor original en el campo DeviceAction. Por ejemplo: `Denied`>`Deny`.
SourceSystem	Siempre se define como OpsManager.

Pasos siguientes