Сопоставление полей CEF и CommonSecurityLog

В приведенных ниже таблицах имена полей Common Event Format (CEF) сопоставляются с именами, которые они используют в CommonSecurityLog Microsoft Sentinel. Это может пригодиться при работе с источником данных CEF в Microsoft Sentinel.

Дополнительные сведения см. в статье Подключение внешнего решения с помощью Common Event Format.

Важно!

28 февраля 2023 года мы внесли изменения в схему таблицы CommonSecurityLog. После этого изменения может потребоваться просмотреть и обновить пользовательские запросы. Дополнительные сведения см. в разделе рекомендуемых действий в этой записи блога. Содержимое вне поля (обнаружения, запросы охоты, книги, синтаксический анализ и т. д.) обновлено Microsoft Sentinel.

Примечание.

Для приема данных CEF в Log Analytics требуется рабочая область Microsoft Sentinel.

A - C

Имя ключа CEF	Имя поля CommonSecurityLog	Description
act	DeviceAction	Действие, указанное в событии.
Приложение	ApplicationProtocol	Протокол, используемый в приложении, например HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAP и т. д.
cat	DeviceEventCategory	Представляет категорию, назначенную источником устройства. Устройства часто используют собственную схему классификации для классификации событий. Например: /Monitor/Disk/Read.
Cnt	EventCount	Связанное с событием число, которое показывает, сколько раз наблюдалось одно и то же событие.

Д

Имя ключа CEF	Имя CommonSecurityLog	Description
Поставщик устройства	DeviceVendor	Строка, которая вместе с определениями продукта и версии устройства однозначно определяет тип отправляющего устройства.
Продукт устройства	DeviceProduct	Строка, которая вместе с определениями поставщика и версии устройства однозначно определяет тип отправляющего устройства.
Версия устройства	DeviceVersion	Строка, которая вместе с определениями продукта и поставщика устройства однозначно определяет тип отправляющего устройства.
destinationDnsDomain	DestinationDnsDomain	Содержащая DNS часть полного доменного имени (FQDN).
destinationServiceName	DestinationServiceName	Целевая служба для события. Например, sshd.
destinationTranslatedAddress	DestinationTranslatedAddress	Определяет преобразованное назначение, к которому обращается событие в IP-сети, как IP-адрес IPv4.
destinationTranslatedPort	DestinationTranslatedPort	Порт после преобразования, например брандмауэр. Допустимые номера портов: 0 - 65535
deviceDirection	CommunicationDirection	Любые сведения о направлении наблюдаемого обмена данными. Допустимые значения: - 0 = входящий трафик - 1 = исходящий трафик
deviceDnsDomain	DeviceDnsDomain	Содержащая домен DNS часть полного доменного имени (FQDN).
DeviceEventClassID	DeviceEventClassID	Строка или целое число, служащие уникальным идентификатором для каждого типа событий.
deviceExternalId	deviceExternalId	Имя, которое однозначно идентифицирует устройство, создающее событие.
deviceFacility	DeviceFacility	Оборудование, создающее событие.
deviceInboundInterface	DeviceInboundInterface	Интерфейс, по которому пакет или данные поступили на устройство.
deviceNtDomain	DeviceNtDomain	Домен Windows адреса устройства
deviceOutboundInterface	DeviceOutboundInterface	Интерфейс, по которому пакет или данные покинули устройство.
devicePayloadId	DevicePayloadId	Уникальный идентификатор полезной нагрузки, связанной с событием.
deviceProcessName	Имя процесса	Имя процесса, связанного с событием. Например, процесс, создающий запись системного журнала в UNIX.
deviceTranslatedAddress	DeviceTranslatedAddress	Определяет преобразованный адрес устройства, к которому обращается событие, в IP-сети. Формат — адрес IPv4.
dhost	DestinationHostName	Назначение, к которому обращается событие в IP-сети. Формат должен представлять собой полное доменное имя, связанное с узлом назначения, если узел доступен. Например, host.domain.com или host.
dmac	DestinationMacAddress	MAC-адрес назначения (FQDN)
dntdom	DestinationNTDomain	Доменное имя Windows для адреса назначения.
dpid	DestinationProcessId	Идентификатор процесса назначения, связанного с событием.
dpriv	DestinationUserPrivileges	Определяет разрешения пользователя назначения. Допустимые значения: Admninistrator, User, Guest
dproc	DestinationProcessName	Имя процесса назначения события, например telnetd или sshd.
dpt	Порт назначения	Порт назначения. Допустимые значения: *0 - 65535
dst	DestinationIP	Адрес IPv4 назначения, к которому обращается событие в IP-сети.
dtz	DeviceTimeZone	Часовой пояс устройства, создающего событие.
duid	DestinationUserId	Определяет пользователя назначения по идентификатору.
duser	DestinationUserName	Определяет пользователя назначения по имени.
dvc	DeviceAddress	Адрес IPv4 устройства, создающего событие.
dvchost	DeviceName	Полное доменное имя, связанное с узлом устройства, если узел доступен. Например, host.domain.com или host.
dvcmac	DeviceMacAddress	MAC-адрес устройства, создающего событие.
dvcpid	Идентификатор процесса	Определяет идентификатор процесса на устройстве, создающем событие.

E-I

Имя ключа CEF	Имя CommonSecurityLog	Description
externalId	ExternalID	Идентификатор, используемый исходным устройством. Как правило, эти значения имеют возрастающие значения, каждое из которых связано с событием.
fileCreateTime	FileCreateTime	Время создания файла.
fileHash	FileHash	Хеш-код файла.
fileId	FileID	Идентификатор, связанный с файлом, например inode.
fileModificationTime	FileModificationTime	Время последнего изменения файла.
filePath	FilePath	Полный путь к файлу, включая имя файла. Пример: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe или /usr/bin/zip.
filePermission	FilePermission	Разрешения файла.
fileType	FileType	Тип файла, например канал, сокет и т. д.
fname	FileName	Имя файла без пути.
fsize	FileSize	Размер файла.
Хост	Компьютер	Узел, из системного журнала.
in	ReceivedBytes	Общее число байтов, переданных во входящем трафике.

M-P

Имя ключа CEF	Имя CommonSecurityLog	Description
msg	Message	Сообщение, содержащее дополнительные сведения о событии.
Имя	Вид занятий	Строка, представляющая понятное описание события.
oldFileCreateTime	OldFileCreateTime	Время создания старого файла.
oldFileHash	OldFileHash	Хеш-код старого файла.
oldFileId	OldFileId	Идентификатор, связанный со старым файлом, например inode.
oldFileModificationTime	OldFileModificationTime	Время последнего изменения старого файла.
oldFileName	OldFileName	Имя старого файла.
oldFilePath	OldFilePath	Полный путь к старому файлу, включая имя файла. Например, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe или /usr/bin/zip.
oldFilePermission	OldFilePermission	Разрешения старого файла.
oldFileSize	OldFileSize	Размер старого файла.
oldFileType	OldFileType	Тип старого файла, например канал, сокет и т. д.
out	SentBytes	Общее число байтов, переданных в исходящем трафике.
результат	EventOutcome	Результат события, например success или failure.
proto	Протокол	Транспортный протокол, определяющий используемый протокол уровня 4. Возможные значения — имена протоколов, например TCP или UDP.

R - T

Имя ключа CEF	Имя CommonSecurityLog	Description
reason	Причина	Причина, по которой было создано событие аудита. Например, badd password или unknown user. Это также может быть ошибка или код возврата. Например: 0x1234.
Запросить	RequestURL	URL-адрес, к которому обращается HTTP-запрос, включая протокол. Например http://www/secure.com.
requestClientApplication	RequestClientApplication	Агент пользователя, связанный с запросом.
requestContext	RequestContext	Описывает содержимое, от которого поступил запрос, например источник ссылки HTTP.
requestCookies	RequestCookies	Файлы cookie, связанные с запросом.
requestMethod	requestMethod	Метод, используемый для доступа к URL-адресу. В число допустимых значений входят такие методы, как POST, GET и т. д.
rt	ReceiptTime	Время получения действия, связанного с событием.
Важность	LogSeverity	Строка или целое число, описывающие важность события. Допустимые строковые значения: Unknown, Low, Medium, High, Very-High Допустимые целые значения: - 0-3 = низкий - 4-6 = среднее - 7-8 = высокое - 9-10 = очень высокое
shost	SourceHostName	Определяет источник, к которому обращается событие, в IP-сети. Формат должен представлять собой полное доменное имя (FQDN), связанное с исходным узлом, если узел доступен. Например, host или host.domain.com.
smac	SourceMacAddress	MAC-адрес источника.
sntdom	SourceNTDomain	Доменное имя Windows для адреса источника.
sourceDnsDomain	SourceDnsDomain	Содержащая домен DNS часть полного доменного имени.
sourceServiceName	SourceServiceName	Служба, отвечающая за создание события.
sourceTranslatedAddress	SourceTranslatedAddress	Определяет преобразованный источник, к которому обращается событие, в IP-сети.
sourceTranslatedPort	SourceTranslatedPort	Исходный порт после преобразования, например брандмауэр. Допустимые номера портов: 0 - 65535
spid	SourceProcessId	Идентификатор исходного процесса, связанного с событием.
spriv	SourceUserPrivileges	Привилегии исходного пользователя. Допустимые значения: Administrator, User, Guest
sproc	SourceProcessName	Имя исходного процесса события.
spt	SourcePort	Номер исходного порта. Допустимые номера портов: 0 - 65535
src	SourceIP	Источник, к которому обращается событие в IP-сети, как адрес IPv4.
suid	SourceUserID	Определяет исходного пользователя по идентификатору.
suser	SourceUserName	Определяет исходного пользователя по имени.
type	EventType	Тип события. Значения включают: - 0: базовое событие - 1:Агрегированные - 2: событие корреляции - 3: событие действия Примечание. Для базовых событий это событие можно опустить.

Пользовательские поля

В следующих таблицах сопоставляются имена ключей CEF и полей CommonSecurityLog, которые могут использоваться клиентами для данных, не применимых ни к одному из встроенных полей.

Настраиваемые поля адресов IPv6

В следующей таблице сопоставлены имена ключей CEF и CommonSecurityLog для полей адресов IPv6, доступных для пользовательских данных.

Имя ключа CEF	Имя CommonSecurityLog
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Настраиваемые числовые поля

В следующей таблице сопоставлены имена ключей CEF и CommonSecurityLog для числовых полей, доступных для пользовательских данных.

Имя ключа CEF	Имя CommonSecurityLog
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Настраиваемые строковые поля

В следующей таблице сопоставлены имена ключей CEF и CommonSecurityLog для строковых полей, доступных для пользовательских данных.

Имя ключа CEF	Имя CommonSecurityLog
Пространство соединителя 1	DeviceCustomString1 1
cs1Label	DeviceCustomString1Label 1
Пространство соединителя 2	DeviceCustomString2 1
cs2Label	DeviceCustomString2Label 1
cs3	DeviceCustomString3 1
cs3Label	DeviceCustomString3Label 1
cs4	DeviceCustomString4 1
cs4Label	DeviceCustomString4Label 1
cs5	DeviceCustomString5 1
cs5Label	DeviceCustomString5Label 1
cs6	DeviceCustomString6 1
cs6Label	DeviceCustomString6Label 1
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Совет

¹ Поля DeviceCustomString рекомендуется применять с осторожностью. По возможности используйте более конкретные встроенные поля.

Настраиваемые поля меток времени

В следующей таблице сопоставлены имена ключей CEF и CommonSecurityLog для полей меток времени, доступных для пользовательских данных.

Имя ключа CEF	Имя CommonSecurityLog
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Настраиваемые поля целочисленных данных

В следующей таблице сопоставлены имена ключей CEF и CommonSecurityLog для целочисленных полей, доступных для пользовательских данных.

Имя ключа CEF	Имя CommonSecurityLog
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Поля обогащения

Microsoft Sentinel добавляет следующие поля CommonSecurityLog, чтобы обогатить оригинальные события, полученные от исходных устройств. У них нет сопоставлений с ключами CEF.

Поля аналитики угроз

Имя поля CommonSecurityLog	Description
IndicatorThreatType	Тип угрозы MaliciousIP в соответствии с веб-каналом аналитики угроз.
MaliciousIP	Список всех IP-адресов в сообщении, соответствующих текущему веб-каналу аналитики угроз.
MaliciousIPCountry	В соответствии с географическими данными во время приема записей вредоносный КОД или регион.
MaliciousIPLatitude	Широта MaliciousIP в соответствии с географической информацией на момент приема записей.
MaliciousIPLongitude	Широта MaliciousIP в соответствии с географической информацией на момент приема записей.
ReportReferenceLink	Ссылка на отчет аналитики угроз.
ThreatConfidence	Степень достоверности угрозы MaliciousIP в соответствии с веб-каналом аналитики угроз.
ThreatDescription	Описание угрозы MaliciousIP в соответствии с веб-каналом аналитики угроз.
ThreatSeverity	Серьезность угрозы для MaliciousIP в соответствии с веб-каналом аналитики угроз на момент приема записей.

Дополнительные поля обогащения

Имя поля CommonSecurityLog	Description
OriginalLogSeverity	Всегда пусто, поддерживается для интеграции с CiscoASA. Дополнительные сведения о значениях серьезности журнала см. в поле LogSeverity.
RemoteIP	Удаленный IP-адрес. Это значение основывается на поле CommunicationDirection, если возможно.
RemotePort	Удаленный порт. Это значение основывается на поле CommunicationDirection, если возможно.
SimplifiedDeviceAction	Упрощает значение DeviceAction до статического набора значений, сохраняя исходное значение в поле DeviceAction. Например: Denied>Deny.
SourceSystem	Всегда задается как OpsManager.

Следующие шаги

Дополнительные сведения см. в статье Подключение внешнего решения с помощью Common Event Format.