Mapping dei campi CEF e CommonSecurityLog
Le tabelle seguenti eseguono il mapping dei nomi dei campi CEF (Common Event Format) ai nomi usati in CommonSecurityLog di Microsoft Sentinel e possono essere utili quando si usa un'origine dati CEF in Microsoft Sentinel.
Per altre informazioni, vedere Connessione soluzione esterna usando Common Event Format.
Importante
Il 28 febbraio 2023 sono state introdotte modifiche allo schema della tabella CommonSecurityLog. Dopo questa modifica, potrebbe essere necessario esaminare e aggiornare query personalizzate. Per altri dettagli, vedere la sezione azioni consigliate in questo post di blog. Il contenuto ottimizzazione predefinita (rilevamenti, query di ricerca, cartelle di lavoro, parser e così via) è stato aggiornato da Microsoft Sentinel.
Nota
Per inserire dati CEF in Log Analytics, è necessaria un'area di lavoro di Microsoft Sentinel.
A - C
D
E - I
Nome chiave CEF | Nome CommonSecurityLog | Descrizione |
---|---|---|
externalId | ExternalID | ID utilizzato dal dispositivo di origine. In genere, questi valori hanno valori crescenti associati a un evento. |
fileCreateTime | FileCreateTime | Ora di creazione del file. |
fileHash | FileHash | Hash di un file. |
fileId | FileID | ID associato a un file, ad esempio l'inode. |
fileModificationTime | FileModificationTime | Ora dell'ultima modifica del file. |
filePath | FilePath | Percorso completo del file, incluso il nome file. Ad esempio, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip . |
filePermission | FilePermission | Autorizzazioni del file. |
fileType | FileType | Tipo di file, ad esempio pipe, socket e così via. |
fname | FileName | Nome del file, senza il percorso. |
fsize | FileSize | Dimensioni del file. |
Host | Computer | Host, da Syslog |
in | ReceivedBytes | Numero di byte trasferiti in ingresso. |
M - P
Nome chiave CEF | Nome CommonSecurityLog | Descrizione |
---|---|---|
msg | Message | Messaggio che fornisce altri dettagli sull'evento. |
Nome | Attività | Stringa che rappresenta una descrizione leggibile e comprensibile dell'evento. |
oldFileCreateTime | OldFileCreateTime | Ora di creazione del file precedente. |
oldFileHash | OldFileHash | Hash del file precedente. |
oldFileId | OldFileId | ID associato al file precedente, ad esempio l'inode. |
oldFileModificationTime | OldFileModificationTime | Ora dell'ultima modifica del file precedente. |
oldFileName | OldFileName | Nome del file precedente. |
oldFilePath | OldFilePath | Percorso completo del file precedente, incluso il nome file. Ad esempio, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip . |
oldFilePermission | OldFilePermission | Autorizzazioni del file precedente. |
oldFileSize | OldFileSize | Dimensioni del file precedente. |
oldFileType | OldFileType | Tipo di file del file precedente, ad esempio pipe, socket e così via. |
out | SentBytes | Numero di byte trasferiti in uscita. |
risultato | EventOutcome | Risultato dell'evento, ad esempio success o failure . |
proto | Protocollo | Protocollo di trasporto che identifica il protocollo di livello 4 usato. I valori possibili includono nomi di protocollo, ad esempio TCP o UDP . |
R - T
Campi personalizzati
Le tabelle seguenti eseguono il mapping dei nomi delle chiavi CEF e dei campi CommonSecurityLog disponibili per i clienti da usare per i dati che non si applicano ad alcuno dei campi predefiniti.
Campi di indirizzo IPv6 personalizzati
Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi degli indirizzi IPv6 disponibili per i dati personalizzati.
Nome chiave CEF | Nome CommonSecurityLog |
---|---|
c6a1 | DeviceCustomIPv6Address1 |
c6a1Label | DeviceCustomIPv6Address1Label |
c6a2 | DeviceCustomIPv6Address2 |
c6a2Label | DeviceCustomIPv6Address2Label |
c6a3 | DeviceCustomIPv6Address3 |
c6a3Label | DeviceCustomIPv6Address3Label |
c6a4 | DeviceCustomIPv6Address4 |
c6a4Label | DeviceCustomIPv6Address4Label |
cfp1 | DeviceCustomFloatingPoint1 |
cfp1Label | deviceCustomFloatingPoint1Label |
cfp2 | DeviceCustomFloatingPoint2 |
cfp2Label | deviceCustomFloatingPoint2Label |
cfp3 | DeviceCustomFloatingPoint3 |
cfp3Label | deviceCustomFloatingPoint3Label |
cfp4 | DeviceCustomFloatingPoint4 |
cfp4Label | deviceCustomFloatingPoint4Label |
Campi numerici personalizzati
Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi numerici disponibili per i dati personalizzati.
Nome chiave CEF | Nome CommonSecurityLog |
---|---|
cn1 | DeviceCustomNumber1 |
cn1Label | DeviceCustomNumber1Label |
cn2 | DeviceCustomNumber2 |
cn2Label | DeviceCustomNumber2Label |
cn3 | DeviceCustomNumber3 |
cn3Label | DeviceCustomNumber3Label |
Campi stringa personalizzati
Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi stringa disponibili per i dati personalizzati.
Nome chiave CEF | Nome CommonSecurityLog |
---|---|
cs1 | DeviceCustomString1 1 |
cs1Label | DeviceCustomString1Label 1 |
cs2 | DeviceCustomString2 1 |
cs2Label | DeviceCustomString2Label 1 |
cs3 | DeviceCustomString3 1 |
cs3Label | DeviceCustomString3Label 1 |
cs4 | DeviceCustomString4 1 |
cs4Label | DeviceCustomString4Label 1 |
Cs5 | DeviceCustomString5 1 |
cs5Label | DeviceCustomString5Label 1 |
cs6 | DeviceCustomString6 1 |
cs6Label | DeviceCustomString6Label 1 |
flexString1 | FlexString1 |
flexString1Label | FlexString1Label |
flexString2 | FlexString2 |
flexString2Label | FlexString2Label |
Suggerimento
1 Ti consigliamo di usare i campi DeviceCustomString con moderazione e di usare campi predefiniti più specifici, quando possibile.
Campi timestamp personalizzati
Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi timestamp disponibili per i dati personalizzati.
Nome chiave CEF | Nome CommonSecurityLog |
---|---|
deviceCustomDate1 | DeviceCustomDate1 |
deviceCustomDate1Label | DeviceCustomDate1Label |
deviceCustomDate2 | DeviceCustomDate2 |
deviceCustomDate2Label | DeviceCustomDate2Label |
flexDate1 | FlexDate1 |
flexDate1Label | FlexDate1Label |
Campi dati integer personalizzati
Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi integer disponibili per i dati personalizzati.
Nome chiave CEF | Nome CommonSecurityLog |
---|---|
flexNumber1 | FlexNumber1 |
flexNumber1Label | FlexNumber1Label |
flexNumber2 | FlexNumber2 |
flexNumber2Label | FlexNumber2Label |
Campi di arricchimento
I campi CommonSecurityLog seguenti vengono aggiunti da Microsoft Sentinel per arricchire gli eventi originali ricevuti dai dispositivi di origine e non hanno mapping nelle chiavi CEF:
Campi di Intelligence sulle minacce
Nome campo CommonSecurityLog | Descrizione |
---|---|
IndicatorThreatType | Tipo di minaccia MaliciousIP , in base al feed di intelligence per le minacce. |
MaliciousIP | Elenca gli indirizzi IP nel messaggio correlati al feed di intelligence sulle minacce corrente. |
MaliciousIPCountry | Paese /area geografica di MalwareIP , in base alle informazioni geografiche al momento dell'inserimento del record. |
MaliciousIPLatitude | Longitudine di MaliciousIP , in base alle informazioni geografiche al momento dell'inserimento del record. |
MaliciousIPLongitude | Longitudine di MaliciousIP , in base alle informazioni geografiche al momento dell'inserimento del record. |
ReportReferenceLink | Collegamento al report intelligence sulle minacce. |
ThreatConfidence | Attendibilità delle minacce di MalwareIP , in base al feed di intelligence sulle minacce. |
ThreatDescription | Descrizione della minaccia MalwareIP, in base al feed di intelligence per le minacce. |
ThreatSeverity | Gravità della minaccia per MaliciousIP, in base al feed di intelligence per le minacce al momento dell'inserimento di record. |
Campi di arricchimento aggiuntivi
Nome campo CommonSecurityLog | Descrizione |
---|---|
OriginalLogSeverity | Sempre vuoto, supportato per l'integrazione con CiscoASA. Per informazioni dettagliate sui valori di gravità del log, vedere il campo LogSeverity . |
RemoteIP | Indirizzo IP remoto. Questo valore è basato sul campo CommunicationDirection , se possibile. |
Remoteport | Porta remota. Questo valore è basato sul campo CommunicationDirection , se possibile. |
SimplifiedDeviceAction | Semplifica il valore DeviceAction in un set statico di valori, mantenendo il valore originale nel campo DeviceAction . Ad esempio: Denied >Deny . |
SourceSystem | Sempre definito come OpsManager. |
Passaggi successivi
Per altre informazioni, vedere Connessione soluzione esterna usando Common Event Format.