Mapping dei campi CEF e CommonSecurityLog

Articolo
11/08/2023

Le tabelle seguenti eseguono il mapping dei nomi dei campi CEF (Common Event Format) ai nomi usati in CommonSecurityLog di Microsoft Sentinel e possono essere utili quando si usa un'origine dati CEF in Microsoft Sentinel.

Per altre informazioni, vedere Connessione soluzione esterna usando Common Event Format.

Importante

Il 28 febbraio 2023 sono state introdotte modifiche allo schema della tabella CommonSecurityLog. Dopo questa modifica, potrebbe essere necessario esaminare e aggiornare query personalizzate. Per altri dettagli, vedere la sezione azioni consigliate in questo post di blog. Il contenuto ottimizzazione predefinita (rilevamenti, query di ricerca, cartelle di lavoro, parser e così via) è stato aggiornato da Microsoft Sentinel.

Nota

Per inserire dati CEF in Log Analytics, è necessaria un'area di lavoro di Microsoft Sentinel.

A - C

Nome chiave CEF	Nome campo CommonSecurityLog	Descrizione
act	DeviceAction	Azione indicata nell'evento.
applicazione	ApplicationProtocol	Protocollo usato nell'applicazione, ad esempio HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IM piattaforma di strumenti analitici e così via.
cat	DeviceEventCategory	Rappresenta la categoria assegnata dal dispositivo di origine. I dispositivi usano spesso uno schema di categorizzazione personalizzato per classificare l'evento. Ad esempio: `/Monitor/Disk/Read`.
Cnt	EventCount	Conteggio associato all'evento, che mostra quante volte è stato osservato lo stesso evento.

D

Nome chiave CEF	Nome CommonSecurityLog	Descrizione
Fornitore di dispositivi	DeviceVendor	Stringa che, insieme alle definizioni di prodotto e versione del dispositivo, identifica in modo univoco il tipo di dispositivo di invio.
Prodotto dispositivo	DeviceProduct	Stringa che, insieme alle definizioni del fornitore del dispositivo e della versione, identifica in modo univoco il tipo di dispositivo di invio.
Versione del dispositivo	DeviceVersion	Stringa che, insieme alle definizioni di prodotto e fornitore del dispositivo, identifica in modo univoco il tipo di dispositivo di invio.
destinationDnsDomain	DestinationDnsDomain	Parte DNS del nome di dominio completo (FQDN).
destinationServiceName	DestinationServiceName	Servizio di destinazione dell'evento. Ad esempio, `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	Identifica la destinazione tradotta a cui fa riferimento l'evento in una rete IP, come indirizzo IP IPv4.
destinationTranslatedPort	DestinationTranslatedPort	Porta, dopo la conversione, ad esempio un firewall. Numeri di porta validi: `0` - `65535`
deviceDirection	CommunicationDirection	Qualsiasi informazione sulla direzione in cui è stata presa la comunicazione osservata. Valori validi: - `0` = In ingresso - `1` = In uscita
deviceDnsDomain	DeviceDnsDomain	Parte del dominio DNS del nome di dominio completo (FQDN)
DeviceEventClassID	DeviceEventClassID	Stringa o integer che funge da identificatore univoco per tipo di evento.
deviceExternalId	deviceExternalId	Nome che identifica in modo univoco il dispositivo che genera l'evento.
deviceFacility	DeviceFacility	Struttura che genera l'evento.
deviceInboundInterface	DeviceInboundInterface	Interfaccia in cui il pacchetto o i dati sono stati immessi nel dispositivo.
deviceNtDomain	DeviceNtDomain	Dominio Windows dell'indirizzo del dispositivo
deviceOutboundInterface	DeviceOutboundInterface	Interfaccia in cui il pacchetto o i dati hanno lasciato il dispositivo.
devicePayloadId	DevicePayloadId	Identificatore univoco per il payload associato all'evento.
deviceProcessName	ProcessName	Nome del processo associato all'evento. Ad esempio, in UNIX, il processo che genera la voce syslog.
deviceTranslatedAddress	DeviceTranslatedAddress	Identifica l'indirizzo del dispositivo convertito a cui fa riferimento l'evento, in una rete IP. Il formato è un indirizzo Ipv4.
dhost	DestinationHostName	Destinazione a cui fa riferimento l'evento in una rete IP. Il formato deve essere un FQDN associato al nodo di destinazione, quando è disponibile un nodo. Ad esempio, `host.domain.com` o `host`.
dmac	DestinationMacAddress	Indirizzo MAC di destinazione (FQDN)
dntdom	DestinationNTDomain	Nome di dominio di Windows dell'indirizzo di destinazione.
dpid	DestinationProcessId	ID del processo di destinazione associato all'evento.
dpriv	DestinationUserPrivileges	Definisce i privilegi dell'uso della destinazione. Valori validi: `Admninistrator`, `User`, `Guest`
dproc	DestinationProcessName	Nome del processo di destinazione dell'evento, ad esempio `telnetd` o `sshd.`
Dpt	DestinationPort	Porta di destinazione. Valori validi: `*0` - `65535`
Dst	DestinationIP	Indirizzo IpV4 di destinazione a cui fa riferimento l'evento in una rete IP.
dtz	DeviceTimeZone	Fuso orario del dispositivo che genera l'evento
duid	DestinationUserId	Identifica l'utente di destinazione in base all'ID.
duser	DestinationUserName	Identifica l'utente di destinazione in base al nome.
dvc	DeviceAddress	Indirizzo IPv4 del dispositivo che genera l'evento.
dvchost	DeviceName	FQDN associato al nodo del dispositivo, quando è disponibile un nodo. Ad esempio, `host.domain.com` o `host`.
dvcmac	DeviceMacAddress	Indirizzo MAC del dispositivo che genera l'evento.
dvcpid	Process ID	Definisce l'ID del processo nel dispositivo che genera l'evento.

E - I

Nome chiave CEF	Nome CommonSecurityLog	Descrizione
externalId	ExternalID	ID utilizzato dal dispositivo di origine. In genere, questi valori hanno valori crescenti associati a un evento.
fileCreateTime	FileCreateTime	Ora di creazione del file.
fileHash	FileHash	Hash di un file.
fileId	FileID	ID associato a un file, ad esempio l'inode.
fileModificationTime	FileModificationTime	Ora dell'ultima modifica del file.
filePath	FilePath	Percorso completo del file, incluso il nome file. Ad esempio, `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` o `/usr/bin/zip`.
filePermission	FilePermission	Autorizzazioni del file.
fileType	FileType	Tipo di file, ad esempio pipe, socket e così via.
fname	FileName	Nome del file, senza il percorso.
fsize	FileSize	Dimensioni del file.
Host	Computer	Host, da Syslog
in	ReceivedBytes	Numero di byte trasferiti in ingresso.

M - P

Nome chiave CEF	Nome CommonSecurityLog	Descrizione
msg	Message	Messaggio che fornisce altri dettagli sull'evento.
Nome	Attività	Stringa che rappresenta una descrizione leggibile e comprensibile dell'evento.
oldFileCreateTime	OldFileCreateTime	Ora di creazione del file precedente.
oldFileHash	OldFileHash	Hash del file precedente.
oldFileId	OldFileId	ID associato al file precedente, ad esempio l'inode.
oldFileModificationTime	OldFileModificationTime	Ora dell'ultima modifica del file precedente.
oldFileName	OldFileName	Nome del file precedente.
oldFilePath	OldFilePath	Percorso completo del file precedente, incluso il nome file. Ad esempio, `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` o `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Autorizzazioni del file precedente.
oldFileSize	OldFileSize	Dimensioni del file precedente.
oldFileType	OldFileType	Tipo di file del file precedente, ad esempio pipe, socket e così via.
out	SentBytes	Numero di byte trasferiti in uscita.
risultato	EventOutcome	Risultato dell'evento, ad esempio `success` o `failure`.
proto	Protocollo	Protocollo di trasporto che identifica il protocollo di livello 4 usato. I valori possibili includono nomi di protocollo, ad esempio `TCP` o `UDP`.

R - T

Nome chiave CEF	Nome CommonSecurityLog	Descrizione
reason	Motivo	Motivo per cui è stato generato un evento di controllo. Ad esempio `badd password` o `unknown user`. Può trattarsi anche di un errore o di un codice restituito. Ad esempio: `0x1234`.
Richiesta	RequestURL	URL a cui si accede per una richiesta HTTP, incluso il protocollo . Ad esempio, usare `http://www/secure.com`
requestClientApplication	RequestClientApplication	Agente utente associato alla richiesta.
Requestcontext	Requestcontext	Descrive il contenuto da cui ha avuto origine la richiesta, ad esempio il referrer HTTP.
requestCookies	RequestCookies	Cookie associati alla richiesta.
requestMethod	RequestMethod	Metodo utilizzato per accedere a un URL. I valori validi includono metodi come `POST`, `GET`e così via.
rt	ReceiptTime	Ora in cui è stato ricevuto l'evento correlato all'attività.
Gravità	LogSeverity	Stringa o integer che descrive l'importanza dell'evento. Valori stringa validi: `Unknown` , `Low`, `Medium`, `High`, `Very-High` I valori integer validi sono: - `0`-`3` = Bassa - `4`-`6` = Medio - `7`-`8` = Alto - `9`-`10` = Molto alto
shost	SourceHostName	Identifica l'origine a cui fa riferimento l'evento in una rete IP. Il formato deve essere un nome di dominio completo (DQDN) associato al nodo di origine, quando è disponibile un nodo. Ad esempio, `host` o `host.domain.com`.
smac	SourceMacAddress	Indirizzo MAC di origine.
sntdom	SourceNTDomain	Nome di dominio di Windows per l'indirizzo di origine.
sourceDnsDomain	SourceDnsDomain	Parte del dominio DNS del nome di dominio completo.
sourceServiceName	SourceServiceName	Servizio responsabile della generazione dell'evento.
sourceTranslatedAddress	SourceTranslatedAddress	Identifica l'origine tradotta a cui fa riferimento l'evento in una rete IP.
sourceTranslatedPort	SourceTranslatedPort	Porta di origine dopo la conversione, ad esempio un firewall. I numeri di porta validi sono `0` - `65535`.
spid	SourceProcessId	ID del processo di origine associato all'evento.
spriv	SourceUserPrivileges	Privilegi dell'utente di origine. I valori validi includono: `Administrator`, `User`, `Guest`
sproc	SourceProcessName	Nome del processo di origine dell'evento.
Spt	SourcePort	Numero di porta di origine. I numeri di porta validi sono `0` - `65535`.
src	SourceIP	Origine a cui un evento fa riferimento in una rete IP, come indirizzo IPv4.
Suid	SourceUserID	Identifica l'utente di origine in base all'ID.
suser	SourceUserName	Identifica l'utente di origine in base al nome.
Tipo	EventType	Tipo di evento. I valori dei valori includono: - `0`: evento di base - `1`:Aggregati - `2`: evento di correlazione - `3`: evento di azione Nota: questo evento può essere omesso per gli eventi di base.

Campi personalizzati

Le tabelle seguenti eseguono il mapping dei nomi delle chiavi CEF e dei campi CommonSecurityLog disponibili per i clienti da usare per i dati che non si applicano ad alcuno dei campi predefiniti.

Campi di indirizzo IPv6 personalizzati

Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi degli indirizzi IPv6 disponibili per i dati personalizzati.

Nome chiave CEF	Nome CommonSecurityLog
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Campi numerici personalizzati

Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi numerici disponibili per i dati personalizzati.

Nome chiave CEF	Nome CommonSecurityLog
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Campi stringa personalizzati

Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi stringa disponibili per i dati personalizzati.

Nome chiave CEF	Nome CommonSecurityLog
cs1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
Cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Suggerimento

¹ Ti consigliamo di usare i campi DeviceCustomString con moderazione e di usare campi predefiniti più specifici, quando possibile.

Campi timestamp personalizzati

Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi timestamp disponibili per i dati personalizzati.

Nome chiave CEF	Nome CommonSecurityLog
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Campi dati integer personalizzati

Nella tabella seguente sono mappati i nomi di chiave CEF e CommonSecurityLog per i campi integer disponibili per i dati personalizzati.

Nome chiave CEF	Nome CommonSecurityLog
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Campi di arricchimento

I campi CommonSecurityLog seguenti vengono aggiunti da Microsoft Sentinel per arricchire gli eventi originali ricevuti dai dispositivi di origine e non hanno mapping nelle chiavi CEF:

Campi di Intelligence sulle minacce

Nome campo CommonSecurityLog	Descrizione
IndicatorThreatType	Tipo di minaccia MaliciousIP , in base al feed di intelligence per le minacce.
MaliciousIP	Elenca gli indirizzi IP nel messaggio correlati al feed di intelligence sulle minacce corrente.
MaliciousIPCountry	Paese /area geografica di MalwareIP , in base alle informazioni geografiche al momento dell'inserimento del record.
MaliciousIPLatitude	Longitudine di MaliciousIP , in base alle informazioni geografiche al momento dell'inserimento del record.
MaliciousIPLongitude	Longitudine di MaliciousIP , in base alle informazioni geografiche al momento dell'inserimento del record.
ReportReferenceLink	Collegamento al report intelligence sulle minacce.
ThreatConfidence	Attendibilità delle minacce di MalwareIP , in base al feed di intelligence sulle minacce.
ThreatDescription	Descrizione della minaccia MalwareIP, in base al feed di intelligence per le minacce.
ThreatSeverity	Gravità della minaccia per MaliciousIP, in base al feed di intelligence per le minacce al momento dell'inserimento di record.

Campi di arricchimento aggiuntivi

Nome campo CommonSecurityLog	Descrizione
OriginalLogSeverity	Sempre vuoto, supportato per l'integrazione con CiscoASA. Per informazioni dettagliate sui valori di gravità del log, vedere il campo LogSeverity .
RemoteIP	Indirizzo IP remoto. Questo valore è basato sul campo CommunicationDirection , se possibile.
Remoteport	Porta remota. Questo valore è basato sul campo CommunicationDirection , se possibile.
SimplifiedDeviceAction	Semplifica il valore DeviceAction in un set statico di valori, mantenendo il valore originale nel campo DeviceAction . Ad esempio: `Denied`>`Deny`.
SourceSystem	Sempre definito come OpsManager.

Passaggi successivi