CEF és CommonSecurityLog mezőleképezés
Az alábbi táblázatok a Common Event Format (CEF) mezőneveket a Microsoft Sentinel CommonSecurityLogban használt nevekre képezik le, és hasznos lehet, ha CEF-adatforrással dolgozik a Microsoft Sentinelben.
További információ: Csatlakozás a külső megoldás a Common Event Format használatával.
Fontos
2023. február 28-án bevezettük a CommonSecurityLog táblaséma módosításait. A módosítást követően előfordulhat, hogy át kell tekintenie és frissítenie kell az egyéni lekérdezéseket. További részletekért tekintse meg az ajánlott műveletek szakaszt ebben a blogbejegyzésben. A Microsoft Sentinel frissítette a beépített tartalmakat (észleléseket, keresési lekérdezéseket, munkafüzeteket, elemzőket stb.).
Megjegyzés:
A CEF-adatok Log Analyticsbe való betöltéséhez Microsoft Sentinel-munkaterületre van szükség.
A – C
D
E - I
CEF-kulcs neve | CommonSecurityLog neve | Leírás |
---|---|---|
externalId | ExternalID | Az eredeti eszköz által használt azonosító. Ezek az értékek általában növekvő értékekkel rendelkeznek, amelyek mindegyike egy-egy eseményhez van társítva. |
fileCreateTime | FileCreateTime | A fájl létrehozásának időpontja. |
fileHash | Fájlkivonat | Fájl kivonata. |
fileId | Fájlazonosító | Egy fájlhoz társított azonosító, például az inode. |
fileModificationTime | FileModificationTime | A fájl utolsó módosításának időpontja. |
filePath | FilePath | A fájl teljes elérési útja, beleértve a fájlnevet is. Például: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe vagy /usr/bin/zip . |
filePermission | FilePermission | A fájl engedélyei. |
Filé | Filé | Fájltípus, például cső, szoftvercsatorna stb. |
fname | FileName | A fájl neve az elérési út nélkül. |
fsize | Fájlméretet | A fájl mérete. |
Gazdagép | Számítógép | Gazdagép a Syslogból |
in | ReceivedBytes | Bejövő átvitt bájtok száma. |
M – P
CEF-kulcs neve | CommonSecurityLog neve | Leírás |
---|---|---|
msg | Üzenet | Üzenet, amely további részleteket tartalmaz az eseményről. |
Name | Tevékenység | Egy sztring, amely az esemény emberi olvasható és érthető leírását jelöli. |
oldFileCreateTime | OldFileCreateTime | A régi fájl létrehozásának időpontja. |
oldFileHash | OldFileHash | A régi fájl kivonata. |
oldFileId | OldFileId | A régi fájlhoz, például az inode-hoz társított azonosító. |
oldFileModificationTime | OldFileModificationTime | A régi fájl utolsó módosításának időpontja. |
oldFileName | OldFileName | A régi fájl neve. |
oldFilePath | OldFilePath | A régi fájl teljes elérési útja, beleértve a fájlnevet is. Például, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe vagy /usr/bin/zip . |
oldFilePermission | OldFilePermission | A régi fájl engedélyei. |
oldFileSize | OldFileSize | A régi fájl mérete. |
oldFileType | OldFileType | A régi fájl fájltípusa, például cső, szoftvercsatorna stb. |
ki | SentBytes | Kimenő átvitt bájtok száma. |
eredmény | EventOutcome | Az esemény kimenetele, például success vagy failure . |
Proto | Protokoll | A használt Layer-4 protokollt azonosító átviteli protokoll. A lehetséges értékek közé tartoznak a protokollnevek, például TCP a .UDP |
R - T
Egyéni mezők
Az alábbi táblázatok a CEF-kulcsok és a CommonSecurityLog mezők nevét képezik le, amelyek az ügyfelek számára elérhetők olyan adatokhoz, amelyek nem vonatkoznak a beépített mezők egyikére sem.
Egyéni IPv6-címmezők
Az alábbi táblázat leképozza az egyéni adatokhoz elérhető IPv6-címmezők CEF-kulcsát és CommonSecurityLog-nevét.
CEF-kulcs neve | CommonSecurityLog neve |
---|---|
c6a1 | DeviceCustomIPv6Address1 |
c6a1Címke | DeviceCustomIPv6Address1Label |
c6a2 | DeviceCustomIPv6Address2 |
c6a2Label | DeviceCustomIPv6Address2Label |
c6a3 | DeviceCustomIPv6Address3 |
c6a3Címke | DeviceCustomIPv6Address3Label |
c6a4 | DeviceCustomIPv6Address4 |
c6a4Címke | DeviceCustomIPv6Address4Label |
cfp1 | DeviceCustomFloatingPoint1 |
cfp1Label | deviceCustomFloatingPoint1Label |
cfp2 | DeviceCustomFloatingPoint2 |
cfp2Label | deviceCustomFloatingPoint2Label |
cfp3 | DeviceCustomFloatingPoint3 |
cfp3Label | deviceCustomFloatingPoint3Label |
cfp4 | DeviceCustomFloatingPoint4 |
cfp4Label | deviceCustomFloatingPoint4Label |
Egyéni számmezők
Az alábbi táblázat leképozza az egyéni adatokhoz elérhető számmezők CEF-kulcsát és CommonSecurityLog-nevét.
CEF-kulcs neve | CommonSecurityLog neve |
---|---|
Cn1 | DeviceCustomNumber1 |
cn1Label | DeviceCustomNumber1Label |
Cn2 | DeviceCustomNumber2 |
cn2Label | DeviceCustomNumber2Label |
cn3 | DeviceCustomNumber3 |
cn3Label | DeviceCustomNumber3Label |
Egyéni sztringmezők
Az alábbi táblázat leképozza az egyéni adatokhoz elérhető sztringmezők CEF-kulcsát és CommonSecurityLog-nevét.
CEF-kulcs neve | CommonSecurityLog neve |
---|---|
cs1 | DeviceCustomString1 1 |
cs1Label | DeviceCustomString1Label 1 |
Cs2 | DeviceCustomString2 1 |
cs2Label | DeviceCustomString2Label 1 |
cs3 | DeviceCustomString3 1 |
cs3Label | DeviceCustomString3Label 1 |
cs4 | DeviceCustomString4 1 |
cs4Label | DeviceCustomString4Label 1 |
Cs5 | DeviceCustomString5 1 |
cs5Label | DeviceCustomString5Label 1 |
cs6 | DeviceCustomString6 1 |
cs6Label | DeviceCustomString6Label 1 |
flexString1 | FlexString1 |
flexString1Label | FlexString1Label |
flexString2 | FlexString2 |
flexString2Label | FlexString2Label |
Tipp.
1 Javasoljuk, hogy a DeviceCustomString mezőket takarékosan használja, és lehetőség szerint használjon pontosabb, beépített mezőket.
Egyéni időbélyegmezők
Az alábbi táblázat leképozza az egyéni adatokhoz elérhető időbélyegmezők CEF-kulcsát és CommonSecurityLog-nevét.
CEF-kulcs neve | CommonSecurityLog neve |
---|---|
deviceCustomDate1 | DeviceCustomDate1 |
deviceCustomDate1Label | DeviceCustomDate1Label |
deviceCustomDate2 | DeviceCustomDate2 |
deviceCustomDate2Label | DeviceCustomDate2Label |
flexDate1 | FlexDate1 |
flexDate1Label | FlexDate1Label |
Egyéni egész szám adatmezői
Az alábbi táblázat leképozza az egyéni adatokhoz elérhető egész számmezők CEF-kulcsát és CommonSecurityLog-nevét.
CEF-kulcs neve | CommonSecurityLog neve |
---|---|
flexNumber1 | FlexNumber1 |
flexNumber1Label | FlexNumber1Label |
flexNumber2 | FlexNumber2 |
flexNumber2Label | FlexNumber2Label |
Bővítési mezők
A Microsoft Sentinel a következő CommonSecurityLog mezőket adja hozzá a forráseszközöktől kapott eredeti események gazdagításához, és nem rendelkezik leképezésekkel CEF-kulcsokban:
Fenyegetésfelderítési mezők
CommonSecurityLog mező neve | Leírás |
---|---|
IndicatorThreatType | A RosszindulatúIP-fenyegetés típusa a fenyegetésintelligencia-hírcsatorna szerint. |
Rosszindulatú IP-cím | Az üzenetben szereplő, az aktuális fenyegetésfelderítési hírcsatornával korreláló IP-címeket sorolja fel. |
MaliciousIPCountry | A RosszindulatúIP-ország /régió a rekordbetöltéskor megadott földrajzi információknak megfelelően. |
RosszindulatúIPL-hála | A MaliciousIP hosszúsága a rekordbetöltéskor megadott földrajzi információknak megfelelően. |
RosszindulatúIPLongitude | A MaliciousIP hosszúsága a rekordbetöltéskor megadott földrajzi információknak megfelelően. |
ReportReferenceLink | Hivatkozás a fenyegetésfelderítési jelentésre. |
ThreatConfidence | A rosszindulatúip-fenyegetés megbízhatósága a fenyegetésintelligencia-hírcsatorna szerint. |
ThreatDescription | A RosszindulatúIP-fenyegetés leírása a fenyegetésintelligencia-hírcsatorna szerint. |
ThreatSeverity | A Rosszindulatúip fenyegetés súlyossága a fenyegetésintelligencia-hírcsatorna szerint a rekordbetöltés idején. |
További bővítési mezők
CommonSecurityLog mező neve | Leírás |
---|---|
OriginalLogSeverity | Mindig üres, támogatott a CiscoASA-val való integrációhoz. A napló súlyossági értékeiről a LogSeverity mezőben talál további információt. |
RemoteIP | A távoli IP-cím. Ez az érték a CommunicationDirection mezőn alapul, ha lehetséges. |
RemotePort | A távoli port. Ez az érték a CommunicationDirection mezőn alapul, ha lehetséges. |
EgyszerűsítettDeviceAction | A DeviceAction értéket statikus értékkészletre egyszerűsíti, miközben megtartja az eredeti értéket a DeviceAction mezőben. For example: Denied >Deny . |
SourceSystem | Mindig OpsManagerként definiálva. |
Következő lépések
További információ: Csatlakozás a külső megoldás a Common Event Format használatával.