Mapeamento de campo CEF e CommonSecurityLog

Artigo
11/08/2023

As tabelas a seguir mapeiam nomes de campo CEF (Common Event Format) para os nomes que eles usam no CommonSecurityLog do Microsoft Sentinel e podem ser úteis quando você estiver trabalhando com uma fonte de dados CEF no Microsoft Sentinel.

Para obter mais informações, consulte Conectar sua solução externa usando o Common Event Format.

Importante

Em 28 de fevereiro de 2023, introduzimos alterações no esquema da tabela CommonSecurityLog. Após essa alteração, talvez seja necessário revisar e atualizar consultas personalizadas. Para obter mais detalhes, consulte a seção de ações recomendadas nesta postagem do blog. O conteúdo pronto para uso (deteções, consultas de caça, pastas de trabalho, analisadores, etc.) foi atualizado pelo Microsoft Sentinel.

Nota

Um espaço de trabalho do Microsoft Sentinel é necessário para ingerir dados CEF no Log Analytics.

A - C

Nome da chave CEF	Nome do campo CommonSecurityLog	Description
act	DeviceAction	A ação mencionada no evento.
Aplicação	ApplicationProtocol	O protocolo usado no aplicativo, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS e assim por diante.
cat	DeviceEventCategory	Representa a categoria atribuída pelo dispositivo de origem. Os dispositivos geralmente usam seu próprio esquema de categorização para classificar o evento. Por exemplo: `/Monitor/Disk/Read`.
CNT	EventCount	Uma contagem associada ao evento, mostrando quantas vezes o mesmo evento foi observado.

D

Nome da chave CEF	Nome CommonSecurityLog	Description
Fornecedor de dispositivos	DeviceVendor	String que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
Produto do dispositivo	DispositivoProduto	String que, juntamente com o fornecedor do dispositivo e as definições de versão, identifica exclusivamente o tipo de dispositivo de envio.
Versão do dispositivo	Versão do dispositivo	String que, juntamente com as definições de produto e fornecedor do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
destinationDnsDomain	DestinationDnsDomain	A parte DNS do nome de domínio totalmente qualificado (FQDN).
destinationServiceName	DestinationServiceName	O serviço que é alvo do evento. Por exemplo, `sshd`.
destinationTranslatedAddress	DestinoEndereço traduzido	Identifica o destino traduzido referido pelo evento em uma rede IP, como um endereço IP IPv4.
destinoTranslatedPort	DestinoTranslatedPort	Port, após a tradução, como um firewall. Números de porta válidos: `0` - `65535`
deviceDirection	ComunicaçãoDireção	Qualquer informação sobre a direção que a comunicação observada tomou. Valores válidos: - `0` = Entrada - `1` = Saída
deviceDnsDomain	DeviceDnsDomain	A parte do domínio DNS do nome de domínio qualificado completo (FQDN)
DeviceEventClassID	DeviceEventClassID	String ou inteiro que serve como um identificador exclusivo por tipo de evento.
deviceExternalId	deviceExternalId	Um nome que identifica exclusivamente o dispositivo que gera o evento.
deviceFacility [en]	DeviceFacility	A instalação geradora do evento.
deviceInboundInterface	DeviceInboundInterface	A interface na qual o pacote ou os dados entraram no dispositivo.
deviceNtDomain	DeviceNtDomain	O domínio Windows do endereço do dispositivo
deviceOutboundInterface	DeviceOutboundInterface	Interface na qual o pacote ou os dados saíram do dispositivo.
devicePayloadId	DevicePayloadId	Identificador exclusivo da carga associada ao evento.
deviceProcessName	ProcessName	Nome do processo associado ao evento. Por exemplo, no UNIX, o processo que gera a entrada syslog.
deviceTranslatedAddress	DeviceTranslatedAddress	Identifica o endereço do dispositivo traduzido ao qual o evento se refere, em uma rede IP. O formato é um endereço Ipv4.
Dhost	DestinationHostName	O destino ao qual o evento se refere em uma rede IP. O formato deve ser um FQDN associado ao nó de destino, quando um nó estiver disponível. Por exemplo, `host.domain.com` ou `host`.
DMAC	DestinationMacAddress	O endereço MAC de destino (FQDN)
DNTdom	DestinoNTDomain	O nome de domínio do Windows do endereço de destino.
DPID	DestinationProcessId	A ID do processo de destino associado ao evento.
Dpriv	DestinationUserPrivileges	Define os privilégios do uso de destino. Valores válidos: `Admninistrator`, , `UserGuest`
DPOC	DestinationProcessName	O nome do processo de destino do evento, como `telnetd` ou `sshd.`
DPT	DestinationPort	Porta de destino. Valores válidos: `*0` - `65535`
horário de verão	DestinoIP	O endereço IpV4 de destino ao qual o evento se refere em uma rede IP.
DTZ	DeviceTimeZone	Fuso horário do dispositivo que gera o evento
Duid	DestinationUserId	Identifica o usuário de destino por ID.
duser	DestinationUserName	Identifica o usuário de destino pelo nome.
DVC	Endereço do dispositivo	O endereço IPv4 do dispositivo que gera o evento.
DVChost	Nome do dispositivo	O FQDN associado ao nó do dispositivo, quando um nó está disponível. Por exemplo, `host.domain.com` ou `host`.
DVCMAC	DeviceMacAddress	O endereço MAC do dispositivo que gera o evento.
DVCPID	Process ID	Define a ID do processo no dispositivo que gera o evento.

E - I

Nome da chave CEF	Nome CommonSecurityLog	Description
externalId	ID Externo	Um ID usado pelo dispositivo de origem. Normalmente, esses valores têm valores crescentes que estão associados a um evento.
fileCreateTime	FileCreateTime	Hora em que o ficheiro foi criado.
fileHash	Hash de Ficheiro	Hash de um ficheiro.
fileId	ID do ficheiro	Um ID associado a um arquivo, como o inode.
fileModificationTime	FileModificationTime	Hora em que o arquivo foi modificado pela última vez.
filePath	FilePath	Caminho completo para o arquivo, incluindo o nome do arquivo. Por exemplo: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` ou `/usr/bin/zip`.
filePermission	FilePermission	As permissões do arquivo.
Tipo de ficheiro	Tipo de ficheiro	Tipo de arquivo, como pipe, soquete e assim por diante.
FNAME	FileName	O nome do arquivo, sem o caminho.
fsize	Tamanho do arquivo	O tamanho do arquivo.
Host	Computador	Host, da Syslog
presente em	ReceivedBytes	Número de bytes transferidos de entrada.

M - P

Nome da chave CEF	Nome CommonSecurityLog	Description
msg	Mensagem	Uma mensagem que dá mais detalhes sobre o evento.
Nome	Atividade	Uma cadeia de caracteres que representa uma descrição compreensível e legível por humanos do evento.
oldFileCreateTime	OldFileCreateTime	Hora em que o ficheiro antigo foi criado.
oldFileHash	OldFileHash	Hash do ficheiro antigo.
oldFileId	OldFileId	E ID associado ao arquivo antigo, como o inode.
oldFileModificationTime	OldFileModificationTime	Hora em que o arquivo antigo foi modificado pela última vez.
oldFileName	OldFileName	Nome do arquivo antigo.
oldFilePath	OldFilePath	Caminho completo para o arquivo antigo, incluindo o nome do arquivo. Por exemplo, `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` ou `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Permissões do arquivo antigo.
oldFileSize	OldFileSize	Tamanho do arquivo antigo.
oldFileType	OldFileType	Tipo de arquivo do arquivo antigo, como um pipe, soquete e assim por diante.
fora	SentBytes	Número de bytes transferidos de saída.
resultado	EventoResultado	Resultado do evento, como `success` ou `failure`.
proto	Protocolo	Protocolo de transporte que identifica o protocolo de camada 4 usado. Os valores possíveis incluem nomes de protocolo, como `TCP` ou `UDP`.

R – T

Nome da chave CEF	Nome CommonSecurityLog	Description
reason	Razão	O motivo pelo qual um evento de auditoria foi gerado. Por exemplo `badd password` ou `unknown user`. Isso também pode ser um erro ou código de retorno. Por exemplo: `0x1234`.
Pedir	RequestURL	A URL acessada para uma solicitação HTTP, incluindo o protocolo. Por exemplo, `http://www/secure.com`
requestClientApplication	RequestClientApplication	O agente de usuário associado à solicitação.
requestContext	RequestContext	Descreve o conteúdo do qual a solicitação se originou, como o referenciador HTTP.
pedidoCookies	PedidoCookies	Cookies associados ao pedido.
requestMethod	RequestMethod	O método usado para acessar uma URL. Os valores válidos incluem métodos como `POST`, `GET`e assim por diante.
RT	Tempo de Recebimento	O momento em que o evento relacionado à atividade foi recebido.
Gravidade	LogSeverity	Uma cadeia de caracteres ou inteiro que descreve a importância do evento. Valores de cadeia de caracteres válidos: `Unknown` , , , , , `LowMediumHighVery-High` Os valores inteiros válidos são: - `0`-`3` = Baixo - `4`-`6` = Médio - `7`-`8` = Alto - `9`-`10` = Muito Alto
Shost	SourceHostName	Identifica a origem a que o evento se refere em uma rede IP. O formato deve ser um nome de domínio totalmente qualificado (DQDN) associado ao nó de origem, quando um nó estiver disponível. Por exemplo, `host` ou `host.domain.com`.
SMAC	SourceMacAddress	Endereço MAC de origem.
SNTDOM	FonteNTDomain	O nome de domínio do Windows para o endereço de origem.
sourceDnsDomain	SourceDnsDomain	A parte do domínio DNS do FQDN completo.
sourceServiceName	SourceServiceName	O serviço responsável pela geração do evento.
sourceTranslatedAddress	SourceTranslatedAddress	Identifica a fonte traduzida à qual o evento se refere em uma rede IP.
fonteTranslatedPort	SourceTranslatedPort	Porta de origem após a tradução, como um firewall. Os números de porta válidos são `0` - `65535`.
SPID	SourceProcessId	A ID do processo de origem associado ao evento.
spriv	SourceUserPrivileges	Os privilégios do usuário de origem. Os valores válidos incluem: `Administrator`, , `UserGuest`
SPOC	SourceProcessName	O nome do processo de origem do evento.
SPT	FontePort	O número da porta de origem. Os números de porta válidos são `0` - `65535`.
src	FonteIP	A origem a que um evento se refere em uma rede IP, como um endereço IPv4.
Suid	SourceUserID	Identifica o usuário de origem por ID.
suser	SourceUserName	Identifica o usuário de origem pelo nome.
tipo	EventType	Tipo de evento. Os valores de valor incluem: - `0`: evento base - `1`: agregado - `2`: evento de correlação - `3`: evento de ação Nota: Este evento pode ser omitido para eventos base.

Campos personalizados

As tabelas a seguir mapeiam os nomes das chaves CEF e campos CommonSecurityLog que estão disponíveis para os clientes usarem para dados que não se aplicam a nenhum dos campos internos.

Campos de endereço IPv6 personalizados

A tabela a seguir mapeia os nomes de chave CEF e CommonSecurityLog para os campos de endereço IPv6 disponíveis para dados personalizados.

Nome da chave CEF	Nome CommonSecurityLog
C6A1	DeviceCustomIPv6Address1
c6a1Rótulo	DeviceCustomIPv6Address1Label
C6A2	DeviceCustomIPv6Address2
c6a2Rótulo	DeviceCustomIPv6Address2Label
C6A3	DeviceCustomIPv6Address3
c6a3Rótulo	DeviceCustomIPv6Address3Label
C6A4	DeviceCustomIPv6Address4
c6a4Rótulo	DeviceCustomIPv6Address4Label
Cfp1	DeviceCustomFloatingPoint1
cfp1Rótulo	deviceCustomFloatingPoint1Label
PCP2	DeviceCustomFloatingPoint2
cfp2Rótulo	dispositivoCustomFloatingPoint2Label
Cfp3	DeviceCustomFloatingPoint3
cfp3Rótulo	dispositivoCustomFloatingPoint3Label
Cfp4	DeviceCustomFloatingPoint4
cfp4Rótulo	dispositivoCustomFloatingPoint4Label

Campos de número personalizados

A tabela a seguir mapeia os nomes de chave CEF e CommonSecurityLog para os campos numéricos disponíveis para dados personalizados.

Nome da chave CEF	Nome CommonSecurityLog
CN1	DeviceCustomNumber1
cn1Rótulo	DeviceCustomNumber1Label
CN2	DeviceCustomNumber2
cn2Rótulo	DeviceCustomNumber2Label
CN3	DeviceCustomNumber3
cn3Rótulo	DeviceCustomNumber3Label

Campos de cadeia de caracteres personalizados

A tabela a seguir mapeia os nomes de chave CEF e CommonSecurityLog para os campos de cadeia de caracteres disponíveis para dados personalizados.

Nome da chave CEF	Nome CommonSecurityLog
CS1	DeviceCustomString1 ¹
cs1Rótulo	DeviceCustomString1Label ¹
CS2	DeviceCustomString2 ¹
cs2Rótulo	DeviceCustomString2Label ¹
CS3	DeviceCustomString3 ¹
cs3Rótulo	DeviceCustomString3Label ¹
CS4	DeviceCustomString4 ¹
cs4Rótulo	DeviceCustomString4Label ¹
CS5	DeviceCustomString5 ¹
cs5Rótulo	DeviceCustomString5Label ¹
CS6	DeviceCustomString6 ¹
cs6Rótulo	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Gorjeta

1 Recomendamos que você use os campos DeviceCustomString com moderação e use campos internos mais específicos quando possível.

Campos de carimbo de data/hora personalizados

A tabela a seguir mapeia os nomes de chave CEF e CommonSecurityLog para os campos de carimbo de data/hora disponíveis para dados personalizados.

Nome da chave CEF	Nome CommonSecurityLog
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
dispositivoCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Campos de dados inteiros personalizados

A tabela a seguir mapeia os nomes de chave CEF e CommonSecurityLog para os campos inteiros disponíveis para dados personalizados.

Nome da chave CEF	Nome CommonSecurityLog
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Campos de enriquecimento

Os seguintes campos CommonSecurityLog são adicionados pelo Microsoft Sentinel para enriquecer os eventos originais recebidos dos dispositivos de origem e não têm mapeamentos em chaves CEF:

Campos de inteligência de ameaças

Nome do campo CommonSecurityLog	Description
IndicatorThreatType	O tipo de ameaça MaliciousIP , de acordo com o feed de inteligência de ameaças.
MaliciosamenteIP	Lista todos os endereços IP na mensagem que se correlacionam com o feed de inteligência de ameaças atual.
MaliciosoIPCountry	O país/região MaliciousIP , de acordo com a informação geográfica no momento da ingestão do registo.
MaliciosoIPLatitude	A longitude MaliciousIP , de acordo com as informações geográficas no momento da ingestão do registro.
MaliciousIPLongitude	A longitude MaliciousIP , de acordo com as informações geográficas no momento da ingestão do registro.
ReportReferenceLink	Link para o relatório de informações sobre ameaças.
ThreatConfidence	A confiança da ameaça MaliciousIP , de acordo com o feed de inteligência de ameaças.
AmeaçaDescrição	A descrição da ameaça MaliciousIP , de acordo com o feed de inteligência de ameaças.
ThreatSeverity	A gravidade da ameaça para o MaliciousIP, de acordo com o feed de inteligência de ameaças no momento da ingestão do registro.

Campos de enriquecimento adicionais

Nome do campo CommonSecurityLog	Description
OriginalLogSeverity	Sempre vazio, suportado para integração com CiscoASA. Para obter detalhes sobre os valores de gravidade do log, consulte o campo LogSeverity .
RemoteIP	O endereço IP remoto. Esse valor é baseado no campo CommunicationDirection , se possível.
Porta Remota	A porta remota. Esse valor é baseado no campo CommunicationDirection , se possível.
SimplifiedDeviceAction	Simplifica o valor DeviceAction para um conjunto estático de valores, mantendo o valor original no campo DeviceAction . Por exemplo: `Denied`>`Deny`.
SourceSystem [en]	Sempre definido como OpsManager.

Próximos passos