Share via

Cef- en CommonSecurityLog-veldtoewijzing

  • Artikel

In de volgende tabellen worden cef-veldnamen (Common Event Format) toegewezen aan de namen die ze gebruiken in CommonSecurityLog van Microsoft Sentinel. Dit kan handig zijn wanneer u met een CEF-gegevensbron in Microsoft Sentinel werkt. Zie Syslog- en CEF-berichten opnemen in Microsoft Sentinel met de Azure Monitor-agent voor meer informatie.

A - C

CEF-sleutelnaam CommonSecurityLog-veldnaam Beschrijving
act DeviceAction De actie die in de gebeurtenis wordt vermeld.
-app ApplicationProtocol Het protocol dat wordt gebruikt in de toepassing, zoals HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, enzovoort.
cat DeviceEventCategory Vertegenwoordigt de categorie die is toegewezen door het oorspronkelijke apparaat. Apparaten gebruiken vaak hun eigen categorisatieschema om gebeurtenissen te classificeren. Voorbeeld: /Monitor/Disk/Read.
cnt EventCount Een telling die is gekoppeld aan de gebeurtenis, waarmee wordt aangegeven hoe vaak dezelfde gebeurtenis is waargenomen.

D

CEF-sleutelnaam CommonSecurityLog-naam Beschrijving
Apparaatleverancier DeviceVendor Tekenreeks die, samen met apparaatproduct- en versiedefinities, het type verzendende apparaat uniek identificeert.
Apparaatproduct DeviceProduct Tekenreeks die, samen met apparaatleverancier- en versiedefinities, het type verzendende apparaat uniek identificeert.
Apparaatversie DeviceVersion Tekenreeks die, samen met apparaatproduct- en leverancierdefinities, het type verzendende apparaat uniek identificeert.
destinationDnsDomain DestinationDnsDomain Het DNS-gedeelte van de FQDN (Fully Qualified Domain Name).
destinationServiceName DestinationServiceName De service waarop de gebeurtenis betrekking heeft. Bijvoorbeeld: sshd.
destinationTranslatedAddress DestinationTranslatedAddress Identificeert de vertaalde bestemming waarnaar wordt verwezen door de gebeurtenis in een IP-netwerk, als een IPv4-IP-adres.
destinationTranslatedPort DestinationTranslatedPort Poort, na vertaling, zoals een firewall.
Geldige poortnummers: 0 - 65535
deviceDirection CommunicationDirection Informatie over de richting die de waargenomen communicatie heeft genomen. Geldige waarden:
- 0 = Inkomend verkeer
- 1 = Uitgaand
deviceDnsDomain DeviceDnsDomain Het DNS-domeingedeelte van de volledige gekwalificeerde domeinnaam (FQDN)
DeviceEventClassID DeviceEventClassID Tekenreeks of geheel getal dat fungeert als een unieke id per gebeurtenistype.
deviceExternalId deviceExternalId Een naam die het apparaat dat de gebeurtenis genereert, uniek identificeert.
deviceFacility DeviceFacility De faciliteit die de gebeurtenis genereert.
deviceInboundInterface DeviceInboundInterface De interface waarop het pakket of de gegevens het apparaat hebben ingevoerd.
deviceNtDomain DeviceNtDomain Het Windows-domein van het apparaatadres
deviceOutboundInterface DeviceOutboundInterface Interface waarop het pakket of de gegevens het apparaat verlaten.
devicePayloadId DevicePayloadId Unieke id voor de nettolading die is gekoppeld aan de gebeurtenis.
deviceProcessName ProcessName Procesnaam die is gekoppeld aan de gebeurtenis.

In UNIX wordt bijvoorbeeld het proces gegenereerd dat de syslog-vermelding genereert.
deviceTranslatedAddress DeviceTranslatedAddress Identificeert het vertaalde apparaatadres waarnaar de gebeurtenis verwijst, in een IP-netwerk.

De indeling is een Ipv4-adres.
dhost DestinationHostName Het doel waarnaar de gebeurtenis verwijst in een IP-netwerk.
De indeling moet een FQDN zijn die is gekoppeld aan het doelknooppunt wanneer een knooppunt beschikbaar is. Bijvoorbeeld host.domain.com of host.
dmac DestinationMacAddress Het MAC-doeladres (FQDN)
dntdom DestinationNTDomain De Windows-domeinnaam van het doeladres.
dpid DestinationProcessId De id van het doelproces dat is gekoppeld aan de gebeurtenis.
dpriv DestinationUserPrivileges Definieert de bevoegdheden van het doelgebruik.
Geldige waarden: Admninistrator, UserGuest
dproc DestinationProcessName De naam van het doelproces van de gebeurtenis, zoals telnetd of sshd.
dpt DestinationPort Doelpoort.
Geldige waarden: *0 - 65535
Dst DestinationIP Het ipV4-doeladres waarnaar de gebeurtenis verwijst in een IP-netwerk.
dtz DeviceTimeZone Tijdzone van het apparaat dat de gebeurtenis genereert
duid DestinationUserId Identificeert de doelgebruiker op id.
duser DestinationUserName Identificeert de doelgebruiker op naam.
dvc DeviceAddress Het IPv4-adres van het apparaat dat de gebeurtenis genereert.
dvchost Apparaatnaam De FQDN die is gekoppeld aan het apparaatknooppunt, wanneer er een knooppunt beschikbaar is. Bijvoorbeeld host.domain.com of host.
dvcmac DeviceMacAddress Het MAC-adres van het apparaat dat de gebeurtenis genereert.
dvcpid Process ID Hiermee definieert u de id van het proces op het apparaat dat de gebeurtenis genereert.

E - I

CEF-sleutelnaam CommonSecurityLog-naam Beschrijving
externalId ExternalID Een id die wordt gebruikt door het oorspronkelijke apparaat. Deze waarden hebben meestal toenemende waarden die elk zijn gekoppeld aan een gebeurtenis.
fileCreateTime FileCreateTime Tijdstip waarop het bestand is gemaakt.
fileHash FileHash Hash van een bestand.
fileId FileID Een id die is gekoppeld aan een bestand, zoals de inode.
fileModificationTime FileModificationTime Tijdstip waarop het bestand voor het laatst is gewijzigd.
filePath FilePath Volledig pad naar het bestand, inclusief de bestandsnaam. Bijvoorbeeld: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe of /usr/bin/zip.
filePermission FilePermission De machtigingen van het bestand.
fileType FileType Bestandstype, zoals pijp, socket, enzovoort.
fname FileName De naam van het bestand, zonder het pad.
fsize FileSize De grootte van het bestand.
Host Computer Host, vanuit Syslog
in ReceivedBytes Aantal overgedragen bytes inkomende bytes.

M - P

CEF-sleutelnaam CommonSecurityLog-naam Beschrijving
msg Bericht Een bericht met meer informatie over de gebeurtenis.
Naam Activiteit Een tekenreeks die een door mensen leesbare en begrijpelijke beschrijving van de gebeurtenis vertegenwoordigt.
oldFileCreateTime OldFileCreateTime Tijdstip waarop het oude bestand is gemaakt.
oldFileHash OldFileHash Hash van het oude bestand.
oldFileId OldFileId En id die is gekoppeld aan het oude bestand, zoals de inode.
oldFileModificationTime OldFileModificationTime Tijdstip waarop het oude bestand voor het laatst is gewijzigd.
oldFileName OldFileName Naam van het oude bestand.
oldFilePath OldFilePath Volledig pad naar het oude bestand, inclusief de bestandsnaam.
Bijvoorbeeld C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe of /usr/bin/zip.
oldFilePermission OldFilePermission Machtigingen van het oude bestand.
oldFileSize OldFileSize Grootte van het oude bestand.
oldFileType OldFileType Bestandstype van het oude bestand, zoals een pijp, socket, enzovoort.
uit SentBytes Het aantal overgedragen bytes uitgaand.
resultaat EventOutcome Resultaat van de gebeurtenis, zoals success of failure.
Proto Protocol Transportprotocol waarmee het gebruikte Layer-4-protocol wordt geïdentificeerd.

Mogelijke waarden zijn protocolnamen, zoals TCP of UDP.

R - T

CEF-sleutelnaam CommonSecurityLog-naam Beschrijving
reason Reden De reden waarom een controlegebeurtenis is gegenereerd. Bijvoorbeeld badd password of unknown user. Dit kan ook een fout of retourcode zijn. Voorbeeld: 0x1234.
Aanvraag RequestURL De URL die wordt geopend voor een HTTP-aanvraag, inclusief het protocol. Bijvoorbeeld http://www/secure.com
requestClientApplication RequestClientApplication De gebruikersagent die is gekoppeld aan de aanvraag.
requestContext RequestContext Beschrijft de inhoud van waaruit de aanvraag afkomstig is, zoals de HTTP-referrer.
requestCookies RequestCookies Cookies die aan de aanvraag zijn gekoppeld.
requestMethod RequestMethod De methode die wordt gebruikt voor toegang tot een URL.

Geldige waarden bevatten methoden zoals POST, GETenzovoort.
Rt ReceiptTime Het tijdstip waarop de gebeurtenis met betrekking tot de activiteit is ontvangen.
Ernst LogSeverity Een tekenreeks of geheel getal dat het belang van de gebeurtenis beschrijft.

Geldige tekenreekswaarden: Unknown , Low, Medium, HighVery-High

Geldige gehele getallen zijn:
- 0-3 = Laag
- 4-6 = gemiddeld
- 7-8 = Hoog
- 9-10 = Zeer hoog
shost SourceHostName Identificeert de bron waarnaar de gebeurtenis verwijst in een IP-netwerk. De indeling moet een fully qualified domain name (DQDN) zijn die is gekoppeld aan het bronknooppunt wanneer een knooppunt beschikbaar is. Bijvoorbeeld host of host.domain.com.
smac SourceMacAddress Mac-bronadres.
sntdom SourceNTDomain De Windows-domeinnaam voor het bronadres.
sourceDnsDomain SourceDnsDomain Het DNS-domeingedeelte van de volledige FQDN.
sourceServiceName SourceServiceName De service die verantwoordelijk is voor het genereren van de gebeurtenis.
sourceTranslatedAddress SourceTranslatedAddress Identificeert de vertaalde bron waarnaar de gebeurtenis verwijst in een IP-netwerk.
sourceTranslatedPort SourceTranslatedPort Bronpoort na vertaling, zoals een firewall.
Geldige poortnummers zijn 0 - 65535.
spid SourceProcessId De id van het bronproces dat is gekoppeld aan de gebeurtenis.
spriv SourceUserPrivileges De bevoegdheden van de brongebruiker.

Geldige waarden zijn: Administrator, UserGuest
sproc SourceProcessName De naam van het bronproces van de gebeurtenis.
Spt SourcePort Het bronpoortnummer.
Geldige poortnummers zijn 0 - 65535.
src SourceIP De bron waarnaar een gebeurtenis verwijst in een IP-netwerk, als een IPv4-adres.
Suid SourceUserID Identificeert de brongebruiker op id.
suser SourceUserName Identificeert de brongebruiker op naam.
type EventType Gebeurtenistype. Waardewaarden zijn onder andere:
- 0: basisgebeurtenis
- 1:Geaggregeerde
- 2: correlatie-gebeurtenis
- 3: actie-gebeurtenis

Opmerking: deze gebeurtenis kan worden weggelaten voor basisgebeurtenissen.

Aangepaste velden

In de volgende tabellen worden de namen van CEF-sleutels en CommonSecurityLog-velden toegewezen die klanten kunnen gebruiken voor gegevens die niet van toepassing zijn op een van de ingebouwde velden.

Aangepaste IPv6-adresvelden

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de IPv6-adresvelden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam CommonSecurityLog-naam
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
gemeenschappelijk 1 DeviceCustomFloatingPoint1
vb1Label deviceCustomFloatingPoint1Label
gvb2 DeviceCustomFloatingPoint2
vb2Label deviceCustomFloatingPoint2Label
gvb3 DeviceCustomFloatingPoint3
vb3Label deviceCustomFloatingPoint3Label
gvb4 DeviceCustomFloatingPoint4
vb4Label deviceCustomFloatingPoint4Label

Aangepaste getalvelden

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de numerieke velden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam CommonSecurityLog-naam
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

Aangepaste tekenreeksvelden

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de tekenreeksvelden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam CommonSecurityLog-naam
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Tip

1 Het is raadzaam om de velden DeviceCustomString spaarzaam te gebruiken en zo mogelijk specifiekere, ingebouwde velden te gebruiken.

Aangepaste tijdstempelvelden

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de tijdstempelvelden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam CommonSecurityLog-naam
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

Aangepaste gegevensvelden voor gehele getallen

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de gehele velden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam CommonSecurityLog-naam
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

Verrijkingsvelden

De volgende CommonSecurityLog-velden worden door Microsoft Sentinel toegevoegd om de oorspronkelijke gebeurtenissen te verrijken die zijn ontvangen van de bronapparaten en hebben geen toewijzingen in CEF-sleutels:

Velden voor bedreigingsinformatie

CommonSecurityLog-veldnaam Beschrijving
IndicatorThreatType Het bedreigingstype MaliciousIP , volgens de feed bedreigingsinformatie.
SchadelijkeIP Een lijst met IP-adressen in het bericht die correleren met de huidige feed voor bedreigingsinformatie.
MaliciousIPCountry Het land/de regio MaliciousIP , volgens de geografische gegevens op het moment van de opname van de record.
SchadelijkeIPL-dankbaarheid De lengtegraad MaliciousIP , op basis van de geografische gegevens op het moment van de opname van de record.
MaliciousIPLongitude De lengtegraad MaliciousIP , op basis van de geografische gegevens op het moment van de opname van de record.
ReportReferenceLink Koppeling naar het bedreigingsinformatierapport.
ThreatConfidence Het betrouwbaarheidsvertrouwen van schadelijkeIP-bedreigingen , volgens de feed bedreigingsinformatie.
ThreatDescription De beschrijving van de SchadelijkeIP-bedreiging , volgens de feed bedreigingsinformatie.
Bedreigingsrelaties De ernst van de bedreiging voor de MaliciousIP, volgens de bedreigingsinformatiefeed op het moment van de opname van de record.

Andere verrijkingsvelden

CommonSecurityLog-veldnaam Beschrijving
OriginalLogSeverity Altijd leeg, ondersteund voor integratie met CiscoASA.
Zie het veld LogSeverity voor meer informatie over de ernstwaarden van logboeken.
RemoteIP Het externe IP-adres.
Deze waarde is gebaseerd op het veld CommunicationDirection , indien mogelijk.
RemotePort De externe poort.
Deze waarde is gebaseerd op het veld CommunicationDirection , indien mogelijk.
SimplifiedDeviceAction Vereenvoudigt de DeviceAction-waarde naar een statische set waarden, terwijl de oorspronkelijke waarde in het veld DeviceAction behouden blijft.
Voorbeeld: Denied>Deny.
SourceSystem Altijd gedefinieerd als OpsManager.

Gerelateerde inhoud