Asignación de campos CEF y CommonSecurityLog

En las tablas siguientes se asignan nombres de campo de Formato de evento común (CEF) a los nombres que usan en CommonSecurityLog de Microsoft Sentinel y puede resultar útil cuando se trabaja con un origen de datos CEF en Microsoft Sentinel. Para obtener más información, vea Ingest syslog and CEF messages to Microsoft Sentinel with the Azure Monitor Agent.

A - C

Nombre de clave CEF	Nombre del campo CommonSecurityLog	Description
actuar	DeviceAction	Acción mencionada en el evento.
aplicación	ApplicationProtocol	Protocolo usado en la aplicación, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, etc.
gato	DeviceEventCategory	Representa la categoría asignada por el dispositivo de origen. Los dispositivos suelen usar su propio esquema de categorización para clasificar eventos. Por ejemplo: /Monitor/Disk/Read.
cnt	EventCount	Recuento asociado al evento, que muestra cuántas veces se observó el mismo evento.

D

Nombre de clave CEF	Nombre de CommonSecurityLog	Description
Proveedor de dispositivos	DeviceVendor	Cadena que, junto con las definiciones de producto y versión del dispositivo, identifica de forma única el tipo de dispositivo de envío.
Producto del dispositivo	DeviceProduct	Cadena que, junto con las definiciones de versión y proveedor de dispositivos, identifica de forma única el tipo de dispositivo de envío.
Versión del dispositivo	DeviceVersion	Cadena que, junto con las definiciones de producto y proveedor del dispositivo, identifica de forma única el tipo de dispositivo de envío.
destinationDnsDomain	DestinationDnsDomain	Parte DNS del nombre de dominio completo (FQDN).
destinationServiceName	DestinationServiceName	El servicio al que se dirige el evento. Por ejemplo, sshd.
destinationTranslatedAddress	DestinationTranslatedAddress	Identifica el destino traducido al que hace referencia el evento en una red IP, como una dirección IP IPv4.
destinationTranslatedPort	DestinationTranslatedPort	Puerto, después de la traducción, como un firewall. Números de puerto válidos: 0 - 65535
deviceDirection	CommunicationDirection	Cualquier información sobre la dirección que ha tomado la comunicación observada. Valores válidos: - 0 = Entrante - 1 = Saliente
deviceDnsDomain	DeviceDnsDomain	Parte del dominio DNS del nombre de dominio completo (FQDN)
DeviceEventClassID	DeviceEventClassID	Cadena o entero que actúa como identificador único por tipo de evento.
deviceExternalId	deviceExternalId	Nombre que identifica de forma única el dispositivo que genera el evento.
deviceFacility	DeviceFacility	La instalación que genera el evento.
deviceInboundInterface	DeviceInboundInterface	Interfaz en la que el paquete o los datos entraron en el dispositivo.
deviceNtDomain	DeviceNtDomain	Dominio de Windows de la dirección del dispositivo
deviceOutboundInterface	DeviceOutboundInterface	Interfaz en la que el paquete o los datos abandonaron el dispositivo.
devicePayloadId	DevicePayloadId	Identificador único de la carga asociada al evento.
deviceProcessName	ProcessName	Nombre del proceso asociado al evento. Por ejemplo, en UNIX, el proceso que genera la entrada de Syslog.
deviceTranslatedAddress	DeviceTranslatedAddress	Identifica la dirección del dispositivo traducida a la que hace referencia el evento, en una red IP. El formato es una dirección Ipv4.
dhost	DestinationHostName	Destino al que hace referencia el evento en una red IP. El formato debe ser un FQDN asociado al nodo de destino, cuando hay un nodo disponible. Por ejemplo, host.domain.com o host.
dmac	DestinationMacAddress	La dirección MAC de destino (FQDN)
dntdom	DestinationNTDomain	Nombre de dominio de Windows de la dirección de destino.
pppd	DestinationProcessId	Identificador del proceso de destino asociado al evento.
dpriv	DestinationUserPrivileges	Define los privilegios del uso de destino. Valores válidos: Administrator, , UserGuest
dproc	DestinationProcessName	Nombre del proceso de destino del evento, como telnetd o sshd.
dpt	DestinationPort	Puerto de destino. Valores válidos: *0 - 65535
dst	DestinationIP	Dirección IpV4 de destino a la que hace referencia el evento en una red IP.
dtz	DeviceTimeZone	Zona horaria del dispositivo que genera el evento
duid	DestinationUserId	Identifica al usuario de destino por identificador.
duser	DestinationUserName	Identifica al usuario de destino por nombre.
dvc	DeviceAddress	Dirección IPv4 del dispositivo que genera el evento.
dvchost	DeviceName	FQDN asociado al nodo de dispositivo, cuando hay un nodo disponible. Por ejemplo, host.domain.com o host.
dvcmac	DeviceMacAddress	Dirección MAC del dispositivo que genera el evento.
dvcpid	Identificador de proceso	Define el identificador del proceso en el dispositivo que genera el evento.

E - I

Nombre de clave CEF	Nombre de CommonSecurityLog	Description
externalId	ExternalID	Identificador usado por el dispositivo de origen. Normalmente, estos valores tienen valores crecientes que están asociados a un evento.
fileCreateTime	FileCreateTime	Hora en que se creó el archivo.
fileHash	FileHash	Hash de un archivo.
fileId	FileID	Identificador asociado a un archivo, como el inode.
fileModificationTime	FileModificationTime	Hora a la que se modificó por última vez el archivo.
filePath	FilePath	Ruta de acceso completa al archivo, incluido el nombre de archivo. Por ejemplo, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip.
filePermission	FilePermission	Permisos del archivo.
fileType	FileType	Tipo de archivo, como canalización, socket, etc.
fname	FileName	Nombre del archivo, sin la ruta de acceso.
fsize	FileSize	Tamaño del archivo.
Host	Equipo	Host, desde Syslog
en	ReceivedBytes	Número de bytes transferidos entrantes.

M - P

Nombre de clave CEF	Nombre de CommonSecurityLog	Description
msg	Mensaje	Mensaje que proporciona más detalles sobre el evento.
Nombre	Actividad	Cadena que representa una descripción legible y comprensible del evento.
oldFileCreateTime	OldFileCreateTime	Hora en que se creó el archivo anterior.
oldFileHash	OldFileHash	Hash del archivo antiguo.
oldFileId	OldFileId	Y el identificador asociado al archivo antiguo, como el inode.
oldFileModificationTime	OldFileModificationTime	Hora a la que se modificó por última vez el archivo anterior.
oldFileName	OldFileName	Nombre del archivo antiguo.
oldFilePath	OldFilePath	Ruta de acceso completa al archivo antiguo, incluido el nombre de archivo. Por ejemplo, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip.
oldFilePermission	OldFilePermission	Permisos del archivo antiguo.
oldFileSize	OldFileSize	Tamaño del archivo antiguo.
oldFileType	OldFileType	Tipo de archivo del archivo antiguo, como una canalización, un socket, etc.
salida	SentBytes	Número de bytes transferidos salientes.
resultado	EventOutcome	Resultado del evento, como success o failure.
proto	Protocolo	Protocolo de transporte que identifica el protocolo de capa 4 usado. Los valores posibles incluyen nombres de protocolo, como TCP o UDP.

R - T

Nombre de clave CEF	Nombre de CommonSecurityLog	Description
motivo	Reason	Motivo por el que se generó un evento de auditoría. Por ejemplo, badd password o unknown user. Esto también podría ser un error o un código devuelto. Por ejemplo: 0x1234.
Solicitud	RequestURL	Dirección URL a la que se accede para una solicitud HTTP, incluido el protocolo. Por ejemplo: http://www/secure.com
requestClientApplication	RequestClientApplication	Agente de usuario asociado a la solicitud.
requestContext	RequestContext	Describe el contenido desde el que se originó la solicitud, como el referenciador HTTP.
requestCookies	RequestCookies	Cookies asociadas a la solicitud.
requestMethod	RequestMethod	Método utilizado para acceder a una dirección URL. Los valores válidos incluyen métodos como POST, GETy así sucesivamente.
rt	ReceiptTime	Hora a la que se recibió el evento relacionado con la actividad.
Severity	LogSeverity	Cadena o entero que describe la importancia del evento. Valores de cadena válidos: Unknown , Low, Medium, , HighVery-High Los valores enteros válidos son: - 0 - 3 = Bajo - 4 - 6 = Medio - 7 - 8 = Alto - 9 - 10 = Very-High
shost	SourceHostName	Identifica el origen al que hace referencia el evento en una red IP. El formato debe ser un nombre de dominio completo (FQDN) asociado al nodo de origen, cuando haya un nodo disponible. Por ejemplo, host o host.domain.com.
smac	SourceMacAddress	Dirección MAC de origen.
sntdom	SourceNTDomain	Nombre de dominio de Windows para la dirección de origen.
sourceDnsDomain	SourceDnsDomain	Parte del dominio DNS del FQDN completo.
sourceServiceName	SourceServiceName	El servicio responsable de generar el evento.
sourceTranslatedAddress	SourceTranslatedAddress	Identifica el origen traducido al que hace referencia el evento en una red IP.
sourceTranslatedPort	SourceTranslatedPort	Puerto de origen después de la traducción, como un firewall. Los números de puerto válidos son 0 - 65535.
spid	SourceProcessId	Identificador del proceso de origen asociado al evento.
spriv	SourceUserPrivileges	Privilegios del usuario de origen. Entre los valores válidos se incluyen : Administrator, User, Guest
sproc	SourceProcessName	Nombre del proceso de origen del evento.
spt	SourcePort	Número de puerto de origen. Los números de puerto válidos son 0 - 65535.
src	SourceIP	Origen al que hace referencia un evento en una red IP, como una dirección IPv4.
suid	SourceUserID	Identifica al usuario de origen por identificador.
suser	SourceUserName	Identifica al usuario de origen por nombre.
type	EventType	Tipo de evento. Los valores de valor incluyen: - 0: evento base - 1: agregado - 2: evento de correlación - 3: evento action Nota: Este evento se puede omitir para eventos base.

Campos personalizados

En las tablas siguientes se asignan los nombres de las claves CEF y los campos CommonSecurityLog que están disponibles para que los clientes puedan usar para los datos que no se aplican a ninguno de los campos integrados.

Campos de dirección IPv6 personalizados

En la tabla siguiente se asignan los nombres cef key y CommonSecurityLog para los campos de dirección IPv6 disponibles para los datos personalizados.

Nombre de clave CEF	Nombre de CommonSecurityLog
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Campos de número personalizados

En la tabla siguiente se asignan los nombres cef key y CommonSecurityLog para los campos numéricos disponibles para los datos personalizados.

Nombre de clave CEF	Nombre de CommonSecurityLog
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Campos de cadena personalizados

En la tabla siguiente se asignan los nombres cef key y CommonSecurityLog para los campos de cadena disponibles para los datos personalizados.

Nombre de clave CEF	Nombre de CommonSecurityLog
cs1	DeviceCustomString1 1
cs1Label	DeviceCustomString1Label 1
cs2	DeviceCustomString2 1
cs2Label	DeviceCustomString2Label 1
cs3	DeviceCustomString3 1
cs3Label	DeviceCustomString3Label 1
cs4	DeviceCustomString4 1
cs4Label	DeviceCustomString4Label 1
cs5	DeviceCustomString5 1
cs5Label	DeviceCustomString5Label 1
cs6	DeviceCustomString6 1
cs6Label	DeviceCustomString6Label 1
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Sugerencia

¹ Se recomienda usar los campos DeviceCustomString con moderación y usar campos integrados más específicos cuando sea posible.

Campos de marca de tiempo personalizados

En la tabla siguiente se asignan los nombres cef key y CommonSecurityLog para los campos de marca de tiempo disponibles para los datos personalizados.

Nombre de clave CEF	Nombre de CommonSecurityLog
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Campos de datos enteros personalizados

En la tabla siguiente se asignan los nombres cef key y CommonSecurityLog para los campos enteros disponibles para los datos personalizados.

Nombre de clave CEF	Nombre de CommonSecurityLog
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Campos de enriquecimiento

Los siguientes campos CommonSecurityLog se agregan Microsoft Sentinel para enriquecer los eventos originales recibidos de los dispositivos de origen y no tienen asignaciones en claves CEF:

Campos de inteligencia sobre amenazas

Nombre del campo CommonSecurityLog	Description
IndicatorThreatType	Tipo de amenaza MaliciousIP , según la fuente de inteligencia sobre amenazas.
MaliciousIP	Enumera las direcciones IP del mensaje que se correlacionan con la fuente de inteligencia sobre amenazas actual.
MaliciousIPCountry	País o región de MaliciousIP , según la información geográfica en el momento de la ingesta de registros.
MaliciousIPLatitude	La longitud MaliciousIP , según la información geográfica en el momento de la ingesta del registro.
MaliciousIPLongitude	La longitud MaliciousIP , según la información geográfica en el momento de la ingesta del registro.
ReportReferenceLink	Vínculo al informe de inteligencia sobre amenazas.
ThreatConfidence	La confianza de amenazas MaliciousIP , según la fuente de inteligencia sobre amenazas.
ThreatDescription	Descripción de la amenaza MaliciousIP , según la fuente de inteligencia sobre amenazas.
ThreatSeverity	Gravedad de la amenaza de MaliciousIP, según la fuente de inteligencia sobre amenazas en el momento de la ingesta del registro.

Otros campos de enriquecimiento

Nombre del campo CommonSecurityLog	Description
OriginalLogSeverity	Siempre vacío, compatible con la integración con CiscoASA. Para más información sobre los valores de gravedad del registro, consulte el campo LogSeverity .
RemoteIP	Dirección IP remota. Este valor se basa en el campo CommunicationDirection , si es posible.
RemotePort	Puerto remoto. Este valor se basa en el campo CommunicationDirection , si es posible.
SimplifiedDeviceAction	Simplifica el valor de DeviceAction en un conjunto estático de valores, al tiempo que mantiene el valor original en el campo DeviceAction . Por ejemplo: Denied>Deny.
SourceSystem	Siempre se define como OpsManager.

Contenido relacionado

• Ingesta de mensajes syslog y CEF para Microsoft Sentinel con el agente de Azure Monitor
• CommonSecurityLog