Mappage de champs CEF et CommonSecurityLog

Les tableaux suivants mappent les noms de champs CEF (Common Event Format) aux noms qu’ils utilisent dans le CommonSecurityLog de Microsoft Sentinel et peuvent être utiles lorsque vous utilisez une source de données CEF dans Microsoft Sentinel. Pour plus d’informations, consultez Ingérer des messages syslog et CEF pour Microsoft Sentinel avec l’agent Azure Monitor.

A - C

Nom de la clé CEF Nom du champ CommonSecurityLog Description
Loi DeviceAction Action mentionnée dans l’événement.
application ApplicationProtocol Protocole utilisé dans l’application, tel que HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, etc.
Chat DeviceEventCategory Représente la catégorie affectée par l’appareil d’origine. Les appareils utilisent souvent leur propre schéma de catégorisation pour classifier l’événement. Par exemple : /Monitor/Disk/Read.
Cnt EventCount Nombre associé à l’événement, indiquant le nombre de fois que le même événement a été observé.

D

Nom de la clé CEF Nom CommonSecurityLog Description
Fournisseur de l’appareil DeviceVendor Chaîne qui, avec les définitions de produit et de version de l’appareil, identifie de façon unique le type d’appareil d’envoi.
Produit de l’appareil DeviceProduct Chaîne qui, avec les définitions de fournisseur et de version de l’appareil, identifie de façon unique le type d’appareil d’envoi.
Version de l’appareil DeviceVersion Chaîne qui, avec les définitions de produit d’appareil et de fournisseur, identifie de manière unique le type d’appareil d’envoi.
destinationDnsDomain DestinationDnsDomain Partie DNS du nom de domaine complet (FQDN).
destinationServiceName DestinationServiceName Service ciblé par l’événement. Par exemple : sshd.
destinationTranslatedAddress DestinationTranslatedAddress Identifie la destination traduite référencée par l’événement dans un réseau IP, en tant qu’adresse IP IPv4.
destinationTranslatedPort DestinationTranslatedPort Port, après la traduction, tel qu’un pare-feu.
Numéros de port valides : 0 - 65535
deviceDirection CommunicationDirection Toute information sur la direction prise par la communication observée. Valeurs valides :
- 0 = Entrant
- 1 = Sortant
deviceDnsDomain DeviceDnsDomain Partie domaine DNS du nom de domaine complet (FQDN)
DeviceEventClassID DeviceEventClassID Chaîne ou entier qui sert d’identificateur unique par type d’événement.
deviceExternalId deviceExternalId Nom qui identifie de façon unique l’appareil qui génère l’événement.
deviceFacility DeviceFacility Installation qui génère l’événement.
deviceInboundInterface DeviceInboundInterface Interface sur laquelle le paquet ou les données sont entrés dans l’appareil.
deviceNtDomain DeviceNtDomain Domaine Windows de l’adresse de l’appareil
deviceOutboundInterface DeviceOutboundInterface Interface sur laquelle le paquet ou les données ont quitté l’appareil.
devicePayloadId DevicePayloadId Identificateur unique de la charge utile associée à l’événement.
deviceProcessName ProcessName Nom du processus associé à l’événement.

Par exemple, dans UNIX, processus générant l’entrée syslog.
deviceTranslatedAddress DeviceTranslatedAddress Identifie l’adresse d’appareil traduite à laquelle l’événement fait référence, dans un réseau IP.

Le format est une adresse Ipv4.
dhost DestinationHostName Destination à laquelle l’événement fait référence dans un réseau IP.
Le format doit être un nom de domaine complet associé au nœud de destination, lorsqu’un nœud est disponible. Par exemple : host.domain.com ou host.
dmac DestinationMacAddress Adresse MAC de destination (FQDN)
dntdom DestinationNTDomain Nom de domaine Windows de l’adresse de destination.
pppd DestinationProcessId ID du processus de destination associé à l’événement.
dpriv DestinationUserPrivileges Définit les privilèges de l’utilisation de destination.
Valeurs valides : Administrator, User, Guest
dproc DestinationProcessName Nom du processus de destination de l’événement, tel que telnetd ou sshd.
Dpt DestinationPort Port de destination.
Valeurs valides : *0 - 65535
Dst DestinationIP Adresse IpV4 de destination à laquelle l’événement fait référence dans un réseau IP.
Dtz DeviceTimeZone Fuseau horaire de l’appareil générant l’événement
duid DestinationUserId Identifie l’utilisateur de destination par ID.
duser DestinationUserName Identifie l’utilisateur de destination par son nom.
Cvn DeviceAddress Adresse IPv4 de l’appareil générant l’événement.
dvchost DeviceName Nom de domaine complet associé au nœud d’appareil, lorsqu’un nœud est disponible. Par exemple : host.domain.com ou host.
dvcmac DeviceMacAddress Adresse MAC de l’appareil générant l’événement.
dvcpid ID de processus Définit l’ID du processus sur l’appareil qui génère l’événement.

E - I

Nom de la clé CEF Nom CommonSecurityLog Description
externalId ExternalID ID utilisé par l’appareil d’origine. En règle générale, ces valeurs ont des valeurs croissantes qui sont chacune associées à un événement.
fileCreateTime FileCreateTime Heure de création du fichier.
fileHash FileHash Hachage d’un fichier.
fileId FileID ID associé à un fichier, tel que l’inode.
fileModificationTime FileModificationTime Heure de la dernière modification du fichier.
Filepath FilePath Chemin d’accès complet au fichier, y compris le nom de fichier. Par exemple : C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip.
filePermission FilePermission Autorisations du fichier.
Filetype FileType Type de fichier, par exemple canal, socket, etc.
Fname FileName Nom du fichier, sans le chemin d’accès.
fsize FileSize Taille du fichier.
Hôte Ordinateur* Hôte, à partir de Syslog
dans Octets reçus Nombre d’octets transférés entrants.

M - P

Nom de la clé CEF Nom CommonSecurityLog Description
msg Message Message qui fournit plus de détails sur l’événement.
Nom Activité Chaîne qui représente une description lisible et compréhensible de l’événement.
oldFileCreateTime OldFileCreateTime Heure de création de l’ancien fichier.
oldFileHash OldFileHash Hachage de l’ancien fichier.
oldFileId OldFileId ID associé à l’ancien fichier, tel que l’inode.
oldFileModificationTime OldFileModificationTime Heure de la dernière modification de l’ancien fichier.
oldFileName OldFileName Nom de l’ancien fichier.
oldFilePath OldFilePath Chemin d’accès complet à l’ancien fichier, y compris le nom de fichier.
Par exemple : C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip.
oldFilePermission OldFilePermission Autorisations de l’ancien fichier.
oldFileSize OldFileSize Taille de l’ancien fichier.
oldFileType OldFileType Type de fichier de l’ancien fichier, tel qu’un canal, un socket, etc.
out SentBytes Nombre d’octets transférés sortants.
Résultat EventOutcome Résultat de l’événement, tel que success ou failure.
Proto Protocole Protocole de transport qui identifie le protocole de couche 4 utilisé.

Les valeurs possibles incluent des noms de protocole, tels que TCP ou UDP.

R - T

Nom de la clé CEF Nom CommonSecurityLog Description
reason (Raison) Reason Raison pour laquelle un événement d’audit a été généré. Par exemple : badd password ou unknown user. Il peut également s’agir d’une erreur ou d’un code de retour. Par exemple : 0x1234.
Demande RequestURL URL accessible pour une requête HTTP, y compris le protocole. Par exemple, http://www/secure.com
requestClientApplication RequestClientApplication Agent utilisateur associé à la demande.
Requestcontext RequestContext Décrit le contenu d’où provient la requête, tel que le référent HTTP.
requestCookies RequestCookies Cookies associés à la demande.
requestMethod RequestMethod Méthode utilisée pour accéder à une URL.

Les valeurs valides incluent des méthodes telles que POST, GET, etc.
Rt ReceiptTime Heure à laquelle l’événement lié à l’activité a été reçu.
Severity LogSeverity Chaîne ou entier qui décrit l’importance de l’événement.

Valeurs de chaîne valides : Unknown , Low, Medium, High, Very-High

Les valeurs entières valides sont les suivantes :
- 0 - 3 = Faible
- 4 - 6 = Moyen
- 7 - 8 = Élevé
- 9 - 10 = Very-High
shost SourceHostName Identifie la source à laquelle l’événement fait référence dans un réseau IP. Le format doit être un nom de domaine complet (FQDN) associé au nœud source lorsqu’un nœud est disponible. Par exemple : host ou host.domain.com.
Smac SourceMacAddress Adresse MAC source.
sntdom SourceNTDomain Nom de domaine Windows pour l’adresse source.
sourceDnsDomain SourceDnsDomain Partie domaine DNS du nom de domaine complet.
sourceServiceName SourceServiceName Service responsable de la génération de l’événement.
sourceTranslatedAddress SourceTranslatedAddress Identifie la source traduite à laquelle l’événement fait référence dans un réseau IP.
sourceTranslatedPort SourceTranslatedPort Port source après la traduction, tel qu’un pare-feu.
Les numéros de port valides sont 0 - 65535.
Spid SourceProcessId ID du processus source associé à l’événement.
spriv SourceUserPrivileges Privilèges de l’utilisateur source.

Les valeurs valides sont les suivantes : Administrator, User, Guest
sproc SourceProcessName Nom du processus source de l’événement.
Spt SourcePort Numéro de port source.
Les numéros de port valides sont 0 - 65535.
src SourceIP Source à laquelle un événement fait référence dans un réseau IP, en tant qu’adresse IPv4.
Suid SourceUserID Identifie l’utilisateur source par ID.
suser SourceUserName Identifie l’utilisateur source par son nom.
type EventType Type d’événement. Les valeurs de valeur sont les suivantes :
- 0: événement de base
- 1:Agrégées
- 2: événement de corrélation
- 3: événement d’action

Remarque : cet événement peut être omis pour les événements de base.

Champs personnalisés

Les tableaux suivants mappent les noms des clés CEF et des champs CommonSecurityLog disponibles pour les clients pour les données qui ne s’appliquent à aucun des champs intégrés.

Champs d’adresse IPv6 personnalisés

Le tableau suivant mappe les noms de clé CEF et CommonSecurityLog pour les champs d’adresse IPv6 disponibles pour les données personnalisées.

Nom de la clé CEF Nom CommonSecurityLog
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
cfp1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
cfp2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
cfp3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
cfp4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

Champs de numéros personnalisés

Le tableau suivant mappe les noms de clé CEF et CommonSecurityLog pour les champs numériques disponibles pour les données personnalisées.

Nom de la clé CEF Nom CommonSecurityLog
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

Champs de chaîne personnalisés

Le tableau suivant mappe les noms de clé CEF et CommonSecurityLog pour les champs de chaîne disponibles pour les données personnalisées.

Nom de la clé CEF Nom CommonSecurityLog
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
Cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Conseil

1 Nous vous recommandons d’utiliser les champs DeviceCustomString avec parcimonie et d’utiliser des champs intégrés plus spécifiques lorsque cela est possible.

Champs d’horodatage personnalisés

Le tableau suivant mappe les noms de clé CEF et CommonSecurityLog pour les champs d’horodatage disponibles pour les données personnalisées.

Nom de la clé CEF Nom CommonSecurityLog
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

Champs de données d’entier personnalisés

Le tableau suivant mappe les noms de clé CEF et CommonSecurityLog pour les champs entiers disponibles pour les données personnalisées.

Nom de la clé CEF Nom CommonSecurityLog
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

Champs d’enrichissement

Les champs CommonSecurityLog suivants sont ajoutés par Microsoft Sentinel pour enrichir les événements d’origine reçus des appareils sources et n’ont pas de mappages dans les clés CEF :

Champs de renseignement sur les menaces

Nom du champ CommonSecurityLog Description
IndicatorThreatType Type de menace MaliciousIP , selon le flux de renseignement sur les menaces.
MaliciousIP Répertorie toutes les adresses IP dans le message qui sont corrélées avec le flux de renseignement sur les menaces actuel.
MaliciousIPCountry Pays/région MaliciousIP , selon les informations géographiques au moment de l’ingestion de l’enregistrement.
MaliciousIPLatitude Longitude MaliciousIP , en fonction des informations géographiques au moment de l’ingestion de l’enregistrement.
MaliciousIPLongitude Longitude MaliciousIP , en fonction des informations géographiques au moment de l’ingestion de l’enregistrement.
ReportReferenceLink Lien vers le rapport de renseignement sur les menaces.
ThreatConfidence Confiance des menaces MaliciousIP , selon le flux de renseignement sur les menaces.
ThreatDescription Description de la menace MaliciousIP , selon le flux de renseignement sur les menaces.
ThreatSeverity Gravité de la menace pour le MaliciousIP, selon le flux de renseignement sur les menaces au moment de l’ingestion de l’enregistrement.

Autres champs d’enrichissement

Nom du champ CommonSecurityLog Description
OriginalLogSeverity Toujours vide, pris en charge pour l’intégration à CiscoASA.
Pour plus d’informations sur les valeurs de gravité du journal, consultez le champ LogSeverity .
RemoteIP Adresse IP distante.
Cette valeur est basée sur le champ CommunicationDirection , si possible.
RemotePort Port distant.
Cette valeur est basée sur le champ CommunicationDirection , si possible.
SimplifiedDeviceAction Simplifie la valeur DeviceAction en un ensemble statique de valeurs, tout en conservant la valeur d’origine dans le champ DeviceAction .
Par exemple : Denied>Deny.
SourceSystem Toujours défini comme OpsManager.

Contenu connexe

  • Last updated on