CEF és CommonSecurityLog mezőleképezés

Cikk
11/08/2023

Az alábbi táblázatok a Common Event Format (CEF) mezőneveket a Microsoft Sentinel CommonSecurityLogban használt nevekre képezik le, és hasznos lehet, ha CEF-adatforrással dolgozik a Microsoft Sentinelben.

További információ: Csatlakozás a külső megoldás a Common Event Format használatával.

Fontos

2023. február 28-án bevezettük a CommonSecurityLog táblaséma módosításait. A módosítást követően előfordulhat, hogy át kell tekintenie és frissítenie kell az egyéni lekérdezéseket. További részletekért tekintse meg az ajánlott műveletek szakaszt ebben a blogbejegyzésben. A Microsoft Sentinel frissítette a beépített tartalmakat (észleléseket, keresési lekérdezéseket, munkafüzeteket, elemzőket stb.).

Megjegyzés:

A CEF-adatok Log Analyticsbe való betöltéséhez Microsoft Sentinel-munkaterületre van szükség.

A – C

CEF-kulcs neve	CommonSecurityLog mező neve	Leírás
act	DeviceAction	Az eseményben említett művelet.
alkalmazás	ApplicationProtocol	Az alkalmazásban használt protokoll, például HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS stb.
Macska	DeviceEventCategory	Az eredeti eszköz által hozzárendelt kategóriát jelöli. Az eszközök gyakran saját kategorizálási sémájukkal osztályozzák az eseményeket. For example: `/Monitor/Disk/Read`.
Cnt	EventCount	Az eseményhez társított szám, amely azt mutatja, hogy hányszor figyelték meg ugyanazt az eseményt.

D

CEF-kulcs neve	CommonSecurityLog neve	Leírás
Eszköz szállítója	DeviceVendor	Sztring, amely az eszköz termék- és verziódefinícióival együtt egyedileg azonosítja a küldő eszköz típusát.
Eszköztermék	DeviceProduct	Sztring, amely az eszköz szállítójával és verziódefinícióival együtt egyedileg azonosítja a küldő eszköz típusát.
Eszköz verziója	DeviceVersion	Sztring, amely az eszköz termék- és szállítódefinícióival együtt egyedileg azonosítja a küldő eszköz típusát.
destinationDnsDomain	DestinationDnsDomain	A teljes tartománynév (FQDN) DNS-része.
destinationServiceName	DestinationServiceName	Az esemény által megcélzott szolgáltatás. For example, `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	IPv4 IP-címként azonosítja az esemény által hivatkozott lefordított célhelyet egy IP-hálózaton.
destinationTranslatedPort	DestinationTranslatedPort	Port, fordítás után, például tűzfal. Érvényes portszámok: `0` - `65535`
deviceDirection	CommunicationDirection	A megfigyelt kommunikáció irányára vonatkozó információk. Érvényes értékek: - `0` = Bejövő - `1` = Kimenő
deviceDnsDomain	DeviceDnsDomain	A teljes minősített tartománynév (FQDN) DNS-tartományrésze
DeviceEventClassID	DeviceEventClassID	Sztring vagy egész szám, amely eseménytípusonként egyedi azonosítóként szolgál.
deviceExternalId	deviceExternalId	Egy név, amely egyedileg azonosítja az eseményt létrehozó eszközt.
deviceFacility	DeviceFacility	Az eseményt létrehozó létesítmény.
deviceInboundInterface	DeviceInboundInterface	Az a felület, amelyen a csomag vagy az adatok beléptek az eszközre.
deviceNtDomain	DeviceNtDomain	Az eszközcím Windows-tartománya
deviceOutboundInterface	DeviceOutboundInterface	Az a felület, amelyen a csomag vagy az adatok elhagyták az eszközt.
devicePayloadId	DevicePayloadId	Az eseményhez társított hasznos adat egyedi azonosítója.
deviceProcessName	ProcessName	Az eseményhez társított folyamatnév. A UNIX-ban például a syslog bejegyzést létrehozó folyamat.
deviceTranslatedAddress	DeviceTranslatedAddress	Azonosítja az esemény által hivatkozott lefordított eszközcímet egy IP-hálózaton. A formátum egy Ipv4-cím.
dhost	DestinationHostName	Az esemény célhelye egy IP-hálózaton. A formátumnak a célcsomóponthoz társított teljes tartománynévnek kell lennie, ha elérhető egy csomópont. Például, `host.domain.com` vagy `host`.
dmac	DestinationMacAddress	A cél MAC-címe (FQDN)
dntdom	DestinationNTDomain	A célcím Windows-tartományneve.
dpid	DestinationProcessId	Az eseményhez társított célfolyamat azonosítója.
dpriv	DestinationUserPrivileges	Meghatározza a célhasználat jogosultságait. Érvényes értékek: `Admninistrator`, , `UserGuest`
dproc	DestinationProcessName	Az esemény célfolyamatának neve, például `telnetdsshd.`
dpt	DestinationPort	Célport. Érvényes értékek: `*0` - `65535`
Dst	DestinationIP	A cél IPV4-cím, amelyre az esemény hivatkozik egy IP-hálózaton.
dtz	DeviceTimeZone	Az eseményt létrehozó eszköz időzónája
duid	DestinationUserId	Azonosító alapján azonosítja a célfelhasználót.
duser	DestinationUserName	Név alapján azonosítja a célfelhasználót.
Dvc	DeviceAddress	Az eseményt létrehozó eszköz IPv4-címe.
dvchost	DeviceName	Az eszközcsomóponthoz társított teljes tartománynév, ha egy csomópont elérhető. Például, `host.domain.com` vagy `host`.
dvcmac	DeviceMacAddress	Az eseményt létrehozó eszköz MAC-címe.
dvcpid	Folyamatazonosító	Meghatározza az eseményt létrehozó eszközön a folyamat azonosítóját.

E - I

CEF-kulcs neve	CommonSecurityLog neve	Leírás
externalId	ExternalID	Az eredeti eszköz által használt azonosító. Ezek az értékek általában növekvő értékekkel rendelkeznek, amelyek mindegyike egy-egy eseményhez van társítva.
fileCreateTime	FileCreateTime	A fájl létrehozásának időpontja.
fileHash	Fájlkivonat	Fájl kivonata.
fileId	Fájlazonosító	Egy fájlhoz társított azonosító, például az inode.
fileModificationTime	FileModificationTime	A fájl utolsó módosításának időpontja.
filePath	FilePath	A fájl teljes elérési útja, beleértve a fájlnevet is. Például: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` vagy `/usr/bin/zip`.
filePermission	FilePermission	A fájl engedélyei.
Filé	Filé	Fájltípus, például cső, szoftvercsatorna stb.
fname	FileName	A fájl neve az elérési út nélkül.
fsize	Fájlméretet	A fájl mérete.
Gazdagép	Számítógép	Gazdagép a Syslogból
in	ReceivedBytes	Bejövő átvitt bájtok száma.

M – P

CEF-kulcs neve	CommonSecurityLog neve	Leírás
msg	Üzenet	Üzenet, amely további részleteket tartalmaz az eseményről.
Name	Tevékenység	Egy sztring, amely az esemény emberi olvasható és érthető leírását jelöli.
oldFileCreateTime	OldFileCreateTime	A régi fájl létrehozásának időpontja.
oldFileHash	OldFileHash	A régi fájl kivonata.
oldFileId	OldFileId	A régi fájlhoz, például az inode-hoz társított azonosító.
oldFileModificationTime	OldFileModificationTime	A régi fájl utolsó módosításának időpontja.
oldFileName	OldFileName	A régi fájl neve.
oldFilePath	OldFilePath	A régi fájl teljes elérési útja, beleértve a fájlnevet is. Például, `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` vagy `/usr/bin/zip`.
oldFilePermission	OldFilePermission	A régi fájl engedélyei.
oldFileSize	OldFileSize	A régi fájl mérete.
oldFileType	OldFileType	A régi fájl fájltípusa, például cső, szoftvercsatorna stb.
ki	SentBytes	Kimenő átvitt bájtok száma.
eredmény	EventOutcome	Az esemény kimenetele, például `success` vagy `failure`.
Proto	Protokoll	A használt Layer-4 protokollt azonosító átviteli protokoll. A lehetséges értékek közé tartoznak a protokollnevek, például `TCP` a .`UDP`

R - T

CEF-kulcs neve	CommonSecurityLog neve	Leírás
reason	Ok	A naplózási esemény létrehozásának oka. Például `badd password` vagy `unknown user`. Ez lehet hiba vagy kód visszaadása is. For example: `0x1234`.
Kérelem	RequestURL	A HTTP-kéréshez elért URL-cím, beleértve a protokollt is. Például: `http://www/secure.com`
requestClientApplication	RequestClientApplication	A kérelemhez társított felhasználói ügynök.
requestContext	RequestContext	Azt a tartalmat ismerteti, amelyből a kérés származik, például a HTTP-hivatkozót.
requestCookies	RequestCookies	A kéréshez társított cookie-k.
requestMethod	RequestMethod	Az URL-cím eléréséhez használt módszer. Az érvényes értékek közé tartoznak az olyan metódusok, mint a `POST`, `GET`és így tovább.
Rt	Nyugtaidő	A tevékenységhez kapcsolódó esemény fogadásának időpontja.
Severity	LogSeverity	Az esemény fontosságát leíró sztring vagy egész szám. Érvényes sztringértékek: `Unknown` , `Low`, `Medium`, `HighVery-High` Az érvényes egész számértékek a következők: - `0`-`3` = Alacsony - `4`-`6` = Közepes - `7`-`8` = Magas - `9`-`10` = Nagyon magas
shost	SourceHostName	Azonosítja azt a forrást, amelyre az esemény hivatkozik egy IP-hálózaton. A formátumnak a forráscsomóponthoz társított teljes tartománynévnek (DQDN) kell lennie, ha elérhető egy csomópont. Például, `host` vagy `host.domain.com`.
Smac	SourceMacAddress	Forrás MAC-cím.
sntdom	SourceNTDomain	A forráscím Windows-tartományneve.
sourceDnsDomain	SourceDnsDomain	A teljes teljes teljes tartományNÉV DNS-tartományrésze.
sourceServiceName	SourceServiceName	Az esemény létrehozásáért felelős szolgáltatás.
sourceTranslatedAddress	SourceTranslatedAddress	Azonosítja azt a lefordított forrást, amelyre az esemény hivatkozik egy IP-hálózaton.
sourceTranslatedPort	SourceTranslatedPort	Forrásport fordítás után, például tűzfal. Az érvényes portszámok a következők `0` - `65535`: .
Spid	SourceProcessId	Az eseményhez társított forrásfolyamat azonosítója.
spriv	SourceUserPrivileges	A forrásfelhasználó jogosultságai. Az érvényes értékek a következők: `Administrator`, , `UserGuest`
sproc	SourceProcessName	Az esemény forrásfolyamatának neve.
Spt	SourcePort	A forrásport száma. Az érvényes portszámok a következők `0` - `65535`: .
src	SourceIP	Az esemény forrása, amelyre egy IP-hálózat hivatkozik, IPv4-címként.
suid	SourceUserID	Azonosító alapján azonosítja a forrásfelhasználót.
suser	SourceUserName	Név alapján azonosítja a forrásfelhasználót.
típus	EventType	Esemény típusa. Az értékértékek a következők: - `0`: alapeset - `1`:Összesített - `2`: korrelációs esemény - `3`: műveletesemény Megjegyzés: Ez az esemény kihagyható az alapesemények esetében.

Egyéni mezők

Az alábbi táblázatok a CEF-kulcsok és a CommonSecurityLog mezők nevét képezik le, amelyek az ügyfelek számára elérhetők olyan adatokhoz, amelyek nem vonatkoznak a beépített mezők egyikére sem.

Egyéni IPv6-címmezők

Az alábbi táblázat leképozza az egyéni adatokhoz elérhető IPv6-címmezők CEF-kulcsát és CommonSecurityLog-nevét.

CEF-kulcs neve	CommonSecurityLog neve
c6a1	DeviceCustomIPv6Address1
c6a1Címke	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Címke	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Címke	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Egyéni számmezők

Az alábbi táblázat leképozza az egyéni adatokhoz elérhető számmezők CEF-kulcsát és CommonSecurityLog-nevét.

CEF-kulcs neve	CommonSecurityLog neve
Cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
Cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Egyéni sztringmezők

Az alábbi táblázat leképozza az egyéni adatokhoz elérhető sztringmezők CEF-kulcsát és CommonSecurityLog-nevét.

CEF-kulcs neve	CommonSecurityLog neve
cs1	DeviceCustomString1 1
cs1Label	DeviceCustomString1Label ¹
Cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
Cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Tipp.

¹ Javasoljuk, hogy a DeviceCustomString mezőket takarékosan használja, és lehetőség szerint használjon pontosabb, beépített mezőket.

Egyéni időbélyegmezők

Az alábbi táblázat leképozza az egyéni adatokhoz elérhető időbélyegmezők CEF-kulcsát és CommonSecurityLog-nevét.

CEF-kulcs neve	CommonSecurityLog neve
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Egyéni egész szám adatmezői

Az alábbi táblázat leképozza az egyéni adatokhoz elérhető egész számmezők CEF-kulcsát és CommonSecurityLog-nevét.

CEF-kulcs neve	CommonSecurityLog neve
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Bővítési mezők

A Microsoft Sentinel a következő CommonSecurityLog mezőket adja hozzá a forráseszközöktől kapott eredeti események gazdagításához, és nem rendelkezik leképezésekkel CEF-kulcsokban:

Fenyegetésfelderítési mezők

CommonSecurityLog mező neve	Leírás
IndicatorThreatType	A RosszindulatúIP-fenyegetés típusa a fenyegetésintelligencia-hírcsatorna szerint.
Rosszindulatú IP-cím	Az üzenetben szereplő, az aktuális fenyegetésfelderítési hírcsatornával korreláló IP-címeket sorolja fel.
MaliciousIPCountry	A RosszindulatúIP-ország /régió a rekordbetöltéskor megadott földrajzi információknak megfelelően.
RosszindulatúIPL-hála	A MaliciousIP hosszúsága a rekordbetöltéskor megadott földrajzi információknak megfelelően.
RosszindulatúIPLongitude	A MaliciousIP hosszúsága a rekordbetöltéskor megadott földrajzi információknak megfelelően.
ReportReferenceLink	Hivatkozás a fenyegetésfelderítési jelentésre.
ThreatConfidence	A rosszindulatúip-fenyegetés megbízhatósága a fenyegetésintelligencia-hírcsatorna szerint.
ThreatDescription	A RosszindulatúIP-fenyegetés leírása a fenyegetésintelligencia-hírcsatorna szerint.
ThreatSeverity	A Rosszindulatúip fenyegetés súlyossága a fenyegetésintelligencia-hírcsatorna szerint a rekordbetöltés idején.

További bővítési mezők

CommonSecurityLog mező neve	Leírás
OriginalLogSeverity	Mindig üres, támogatott a CiscoASA-val való integrációhoz. A napló súlyossági értékeiről a LogSeverity mezőben talál további információt.
RemoteIP	A távoli IP-cím. Ez az érték a CommunicationDirection mezőn alapul, ha lehetséges.
RemotePort	A távoli port. Ez az érték a CommunicationDirection mezőn alapul, ha lehetséges.
EgyszerűsítettDeviceAction	A DeviceAction értéket statikus értékkészletre egyszerűsíti, miközben megtartja az eredeti értéket a DeviceAction mezőben. For example: `Denied`>`Deny`.
SourceSystem	Mindig OpsManagerként definiálva.

Következő lépések