Mapowanie pól CEF i CommonSecurityLog

Artykuł
11/08/2023

Poniższe tabele mapują nazwy pól Common Event Format (CEF) na nazwy używane w dzienniku CommonSecurityLog usługi Microsoft Sentinel i mogą być przydatne podczas pracy ze źródłem danych CEF w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Połączenie rozwiązania zewnętrznego przy użyciu formatu Common Event Format.

Ważne

28 lutego 2023 r. wprowadziliśmy zmiany w schemacie tabeli CommonSecurityLog. Po tej zmianie może być konieczne przejrzenie i zaktualizowanie zapytań niestandardowych. Aby uzyskać więcej informacji, zobacz sekcję zalecanych akcji w tym wpisie w blogu. Zawartość out-of-the-box (wykrycia, zapytania wyszukiwania zagrożeń, skoroszyty, analizatory itp.) została zaktualizowana przez usługę Microsoft Sentinel.

Uwaga

Aby pozyskiwać dane CEF do usługi Log Analytics, wymagany jest obszar roboczy usługi Microsoft Sentinel.

A — C

Nazwa klucza CEF	Nazwa pola CommonSecurityLog	opis
act	DeviceAction	Akcja wymieniona w zdarzeniu.
Aplikacja	ApplicationProtocol	Protokół używany w aplikacji, taki jak HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS itd.
cat	DeviceEventCategory	Reprezentuje kategorię przypisaną przez urządzenie źródłowe. Urządzenia często używają własnego schematu kategoryzacji do klasyfikowania zdarzeń. Na przykład: `/Monitor/Disk/Read`.
Cnt	EventCount	Liczba skojarzona ze zdarzeniem pokazująca, ile razy zaobserwowano to samo zdarzenie.

D

Nazwa klucza CEF	Nazwa commonSecurityLog	opis
Dostawca urządzenia	DeviceVendor	Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego.
Produkt urządzenia	DeviceProduct	Ciąg, który wraz z definicjami dostawcy urządzeń i wersji jednoznacznie identyfikuje typ urządzenia wysyłającego.
Wersja urządzenia	DeviceVersion	Ciąg, który wraz z definicjami produktu i dostawcy urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego.
destinationDnsDomain	DestinationDnsDomain	Część DNS w pełni kwalifikowanej nazwy domeny (FQDN).
destinationServiceName	DestinationServiceName	Usługa, która jest objęta zdarzeniem. Na przykład `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	Identyfikuje przetłumaczone miejsce docelowe, do którego odwołuje się zdarzenie w sieci IP, jako adres IP IPv4.
destinationTranslatedPort	DestinationTranslatedPort	Port po tłumaczeniu, taki jak zapora. Prawidłowe numery portów: `0` - `65535`
deviceDirection	CommunicationDirection	Wszelkie informacje o kierunku, w jakim została podjęta obserwowana komunikacja. Prawidłowe wartości: - `0` = ruch przychodzący - `1` = Ruch wychodzący
deviceDnsDomain	DeviceDnsDomain	Część domeny DNS pełnej kwalifikowanej nazwy domeny (FQDN)
DeviceEventClassID	DeviceEventClassID	Ciąg lub liczba całkowita, która służy jako unikatowy identyfikator dla typu zdarzenia.
deviceExternalId	deviceExternalId	Nazwa, która jednoznacznie identyfikuje urządzenie generujące zdarzenie.
deviceFacility	DeviceFacility	Obiekt generujący zdarzenie.
deviceInboundInterface	DeviceInboundInterface	Interfejs, na którym pakiet lub dane zostały wprowadzone na urządzeniu.
deviceNtDomain	DeviceNtDomain	Domena systemu Windows adresu urządzenia
deviceOutboundInterface	DeviceOutboundInterface	Interfejs, na którym pakiet lub dane opuściły urządzenie.
devicePayloadId	DevicePayloadId	Unikatowy identyfikator ładunku skojarzonego ze zdarzeniem.
deviceProcessName	ProcessName	Nazwa procesu skojarzona ze zdarzeniem. Na przykład w system UNIX proces generujący wpis dziennika systemowego.
deviceTranslatedAddress	DeviceTranslatedAddress	Identyfikuje przetłumaczony adres urządzenia, do którego odnosi się zdarzenie, w sieci IP. Format to adres Ipv4.
dhost	DestinationHostName	Miejsce docelowe, do którego odnosi się zdarzenie w sieci IP. Format powinien być nazwą FQDN skojarzona z węzłem docelowym, gdy węzeł jest dostępny. Na przykład: `host.domain.com` lub `host`.
dmac	DestinationMacAddress	Docelowy adres MAC (FQDN)
dntdom	DestinationNTDomain	Nazwa domeny systemu Windows adresu docelowego.
dpid	Identyfikator DestinationProcessId	Identyfikator procesu docelowego skojarzonego ze zdarzeniem.
dpriv	DestinationUserPrivileges	Definiuje uprawnienia użytkownika docelowego. Prawidłowe wartości: `Admninistrator`, , `UserGuest`
dproc	DestinationProcessName	Nazwa procesu docelowego zdarzenia, na przykład `telnetd` lub `sshd.`
Dpt	DestinationPort	Port docelowy. Prawidłowe wartości: `*0` - `65535`
Czasu letniego	Docelowy adres IP	Docelowy adres IPV4, do którego odnosi się zdarzenie w sieci IP.
dtz	Strefa czasowa urządzenia	Strefa czasowa urządzenia generującego zdarzenie
duid	Identyfikator użytkownika docelowego	Identyfikuje docelowego użytkownika według identyfikatora.
duser	DestinationUserName	Identyfikuje docelowego użytkownika według nazwy.
Dvc	DeviceAddress	Adres IPv4 urządzenia generującego zdarzenie.
dvchost	Nazwa urządzenia	Nazwa FQDN skojarzona z węzłem urządzenia, gdy węzeł jest dostępny. Na przykład: `host.domain.com` lub `host`.
dvcmac	DeviceMacAddress	Adres MAC urządzenia generującego zdarzenie.
dvcpid	Process ID	Definiuje identyfikator procesu na urządzeniu generującym zdarzenie.

E - I

Nazwa klucza CEF	Nazwa commonSecurityLog	opis
externalId	Identyfikator zewnętrzny	Identyfikator używany przez urządzenie źródłowe. Zazwyczaj te wartości mają coraz większe wartości, które są skojarzone ze zdarzeniem.
fileCreateTime	FileCreateTime	Godzina utworzenia pliku.
fileHash	Skrót pliku	Skrót pliku.
fileId	Identyfikator pliku	Identyfikator skojarzony z plikiem, taki jak inode.
fileModificationTime	FileModificationTime	Godzina ostatniej modyfikacji pliku.
Filepath	Filepath	Pełna ścieżka do pliku, w tym nazwa pliku. Na przykład: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` lub `/usr/bin/zip`.
filePermission	FilePermission	Uprawnienia pliku.
Filetype	Filetype	Typ pliku, taki jak potok, gniazdo itd.
Fname	FileName	Nazwa pliku bez ścieżki.
fsize	Rozmiar pliku	Rozmiar pliku.
Gospodarz	Komputer	Host z dziennika systemowego
w	ReceivedBytes	Liczba przetransferowanych bajtów przychodzących.

M – P

Nazwa klucza CEF	Nazwa commonSecurityLog	opis
msg	Wiadomość	Komunikat z bardziej szczegółowymi informacjami o zdarzeniu.
Nazwisko	Aktywność	Ciąg reprezentujący czytelny dla człowieka i zrozumiały opis zdarzenia.
oldFileCreateTime	OldFileCreateTime	Czas utworzenia starego pliku.
oldFileHash	OldFileHash	Skrót starego pliku.
oldFileId	OldFileId	Identyfikator skojarzony ze starym plikiem, na przykład inode.
oldFileModificationTime	OldFileModificationTime	Czas ostatniej modyfikacji starego pliku.
oldFileName	OldFileName	Nazwa starego pliku.
oldFilePath	OldFilePath	Pełna ścieżka do starego pliku, w tym nazwa pliku. Na przykład: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` lub `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Uprawnienia starego pliku.
oldFileSize	OldFileSize	Rozmiar starego pliku.
oldFileType	OldFileType	Typ pliku starego pliku, taki jak potok, gniazdo itd.
out	SentBytes	Liczba przetransferowanych bajtów wychodzących.
wynik	EventOutcome	Wynik zdarzenia, taki jak `success` lub `failure`.
Proto	Protokół	Protokół transportowy identyfikujący używany protokół Warstwy 4. Możliwe wartości obejmują nazwy protokołów, takie jak `TCP` lub `UDP`.

R — T

Nazwa klucza CEF	Nazwa commonSecurityLog	opis
reason	Przyczyna	Przyczyna wygenerowania zdarzenia inspekcji. Na przykład `badd password` lub `unknown user`. Może to być również błąd lub kod zwracany. Na przykład: `0x1234`.
Zażądaj	RequestURL	Adres URL dostępny dla żądania HTTP, w tym protokół. Na przykład `http://www/secure.com`
requestClientApplication	RequestClientApplication	Agent użytkownika skojarzony z żądaniem.
Requestcontext	Requestcontext	Opisuje zawartość, z której pochodzi żądanie, na przykład odwołanie HTTP.
requestCookies	RequestCookies	Pliki cookie skojarzone z żądaniem.
requestMethod	RequestMethod	Metoda używana do uzyskiwania dostępu do adresu URL. Prawidłowe wartości obejmują metody, takie jak `POST`, `GET`i tak dalej.
Rt	Godzina odbioru	Czas odebrania zdarzenia związanego z działaniem.
Ważność	LogSeverity	Ciąg lub liczba całkowita, która opisuje znaczenie zdarzenia. Prawidłowe wartości ciągów: `Unknown` , , `LowMedium`, , `HighVery-High` Prawidłowe wartości całkowite to: - `0`-`3` = Niski - `4`-`6` = Średni - `7`-`8` = Wysoki - `9`-`10` = Bardzo wysoki
host shost	SourceHostName	Identyfikuje źródło, do którego odnosi się zdarzenie w sieci IP. Format powinien być w pełni kwalifikowaną nazwą domeny (DQDN) skojarzona z węzłem źródłowym, gdy węzeł jest dostępny. Na przykład: `host` lub `host.domain.com`.
smac	SourceMacAddress	Źródłowy adres MAC.
sntdom	ŹródłoNTDomain	Nazwa domeny systemu Windows dla adresu źródłowego.
sourceDnsDomain	SourceDnsDomain	Część domeny DNS pełnej nazwy FQDN.
sourceServiceName	Nazwa usługi źródłowej	Usługa odpowiedzialna za generowanie zdarzenia.
sourceTranslatedAddress	SourceTranslatedAddress	Identyfikuje przetłumaczone źródło, do którego odnosi się zdarzenie w sieci IP.
sourceTranslatedPort	SourceTranslatedPort	Port źródłowy po translacji, taki jak zapora. Prawidłowe numery portów to `0` - `65535`.
Identyfikator spid	SourceProcessId	Identyfikator procesu źródłowego skojarzonego ze zdarzeniem.
spriv	SourceUserPrivileges	Uprawnienia użytkownika źródłowego. Prawidłowe wartości to: `Administrator`, , `UserGuest`
sproc	SourceProcessName	Nazwa procesu źródłowego zdarzenia.
Spt	SourcePort	Numer portu źródłowego. Prawidłowe numery portów to `0` - `65535`.
src	SourceIP	Źródło, do którego zdarzenie odnosi się w sieci IP, jako adres IPv4.
Suid	Identyfikator użytkownika źródłowego	Identyfikuje użytkownika źródłowego według identyfikatora.
suser	SourceUserName	Identyfikuje użytkownika źródłowego według nazwy.
type	EventType	Typ zdarzenia. Wartości obejmują: - `0`: zdarzenie podstawowe - `1`:Zagregowane - `2`: zdarzenie korelacji - `3`: zdarzenie akcji Uwaga: to zdarzenie można pominąć dla zdarzeń podstawowych.

Pola niestandardowe

W poniższych tabelach są mapowane nazwy kluczy CEF i pól CommonSecurityLog, które są dostępne dla klientów do użycia dla danych, które nie mają zastosowania do żadnego z pól wbudowanych.

Niestandardowe pola adresów IPv6

W poniższej tabeli przedstawiono mapowanie kluczy CEF i nazw CommonSecurityLog dla pól adresów IPv6 dostępnych dla danych niestandardowych.

Nazwa klucza CEF	Nazwa commonSecurityLog
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Pola liczb niestandardowych

W poniższej tabeli przedstawiono mapowanie kluczy CEF i nazw CommonSecurityLog dla pól liczbowych dostępnych dla danych niestandardowych.

Nazwa klucza CEF	Nazwa commonSecurityLog
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
Cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Niestandardowe pola ciągów

W poniższej tabeli przedstawiono mapowanie kluczy CEF i nazw CommonSecurityLog dla pól ciągu dostępnych dla danych niestandardowych.

Nazwa klucza CEF	Nazwa commonSecurityLog
cs1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
Cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Napiwek

¹ Zalecamy używanie pól DeviceCustomString oszczędnie i używanie bardziej szczegółowych, wbudowanych pól, jeśli jest to możliwe.

Niestandardowe pola znacznika czasu

W poniższej tabeli przedstawiono mapowanie kluczy CEF i nazw CommonSecurityLog dla pól sygnatury czasowej dostępnych dla danych niestandardowych.

Nazwa klucza CEF	Nazwa commonSecurityLog
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Niestandardowe pola danych liczb całkowitych

W poniższej tabeli przedstawiono mapowanie kluczy CEF i nazw CommonSecurityLog dla pól liczb całkowitych dostępnych dla danych niestandardowych.

Nazwa klucza CEF	Nazwa commonSecurityLog
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Pola wzbogacania

Następujące pola CommonSecurityLog są dodawane przez usługę Microsoft Sentinel w celu wzbogacania oryginalnych zdarzeń odebranych z urządzeń źródłowych i nie mają mapowań w kluczach CEF:

Pola analizy zagrożeń

Nazwa pola CommonSecurityLog	opis
IndicatorThreatType	Typ zagrożenia MaliciousIP zgodnie z kanałem informacyjnym analizy zagrożeń.
Złośliwy adresIP	Wyświetla listę wszystkich adresów IP w komunikacie, które są skorelowane z bieżącym źródłem danych analizy zagrożeń.
Złośliwe kontoIP	Kraj /region złośliwego adresu IP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu.
MaliciousIPLatitude	Długość geograficzna złośliwego koduIP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu.
Złośliwy elementIPLongitude	Długość geograficzna złośliwego koduIP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu.
ReportReferenceLink	Link do raportu analizy zagrożeń.
ThreatConfidence	Według źródła danych analizy zagrożeń złośliwego kodu IP zaufanie do zagrożeń.
ThreatDescription	Opis zagrożenia MaliciousIP zgodnie z kanałem informacyjnym analizy zagrożeń.
Zależnie od zagrożeń	Ważność zagrożenia dla złośliwego koduIP, zgodnie z kanałem informacyjnym analizy zagrożeń w momencie pozyskiwania rekordu.

Dodatkowe pola wzbogacania

Nazwa pola CommonSecurityLog	opis
OriginalLogSeverity	Zawsze puste, obsługiwane na potrzeby integracji z aplikacją CiscoASA. Aby uzyskać szczegółowe informacje o wartościach ważności dziennika, zobacz pole LogSeverity .
RemoteIP	Zdalny adres IP. Ta wartość jest oparta na polu CommunicationDirection , jeśli to możliwe.
RemotePort	Port zdalny. Ta wartość jest oparta na polu CommunicationDirection , jeśli to możliwe.
SimplifiedDeviceAction	Upraszcza wartość DeviceAction do statycznego zestawu wartości, zachowując jednocześnie oryginalną wartość w polu DeviceAction. Na przykład: `Denied`>`Deny`.
SourceSystem	Zawsze zdefiniowane jako OpsManager.

Następne kroki