CEF ve CommonSecurityLog alan eşlemesi

Makale
11/08/2023

Aşağıdaki tablolar Ortak Olay Biçimi (CEF) alan adlarını Microsoft Sentinel'in CommonSecurityLog'unda kullandıkları adlarla eşler ve Microsoft Sentinel'de bir CEF veri kaynağıyla çalışırken yararlı olabilir.

Daha fazla bilgi için bkz. Ortak Olay Biçimini kullanarak dış çözümünüzü Bağlan.

Önemli

28 Şubat 2023'te CommonSecurityLog tablo şemasında değişiklikler yaptık. Bu değişikliğin ardından özel sorguları gözden geçirmeniz ve güncelleştirmeniz gerekebilir. Diğer ayrıntılar için bu blog gönderisindeki önerilen eylemler bölümüne bakın. Kullanıma açık içerik (algılamalar, tehdit avcılığı sorguları, çalışma kitapları, ayrıştırıcılar vb.) Microsoft Sentinel tarafından güncelleştirildi.

Dekont

CEF verilerini Log Analytics'e almak için bir Microsoft Sentinel çalışma alanı gereklidir.

A - C

CEF anahtar adı	CommonSecurityLog alan adı	Tanım
act	DeviceAction	Olayda bahsedilen eylem.
uygulaması	ApplicationProtocol	Http, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS gibi uygulamada kullanılan protokol.
cat	DeviceEventCategory	Kaynak cihaz tarafından atanan kategoriyi temsil eder. Cihazlar genellikle olayı sınıflandırmak için kendi kategori şemalarını kullanır. Örneğin: `/Monitor/Disk/Read`.
Cnt	EventCount	Olayla ilişkili, aynı olayın kaç kez gözlemlendiği gösteren bir sayı.

D

CEF anahtar adı	CommonSecurityLog adı	Tanım
Cihaz Satıcısı	DeviceVendor	Cihaz ürün ve sürüm tanımlarıyla birlikte, gönderen cihazın türünü benzersiz olarak tanımlayan dize.
Cihaz Ürünü	DeviceProduct	Cihaz satıcısı ve sürüm tanımlarıyla birlikte, gönderen cihazın türünü benzersiz olarak tanımlayan dize.
Cihaz Sürümü	DeviceVersion	Cihaz ürünü ve satıcı tanımlarıyla birlikte gönderen cihazın türünü benzersiz olarak tanımlayan dize.
destinationDnsDomain	DestinationDnsDomain	Tam etki alanı adının (FQDN) DNS bölümü.
destinationServiceName	DestinationServiceName	Olay tarafından hedeflenen hizmet. Örneğin, `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	BIR IP ağındaki olay tarafından başvuruda bulunılan çevrilmiş hedefi IPv4 IP adresi olarak tanımlar.
destinationTranslatedPort	DestinationTranslatedPort	Çeviriden sonra güvenlik duvarı gibi bir bağlantı noktası. Geçerli bağlantı noktası numaraları: `0` - `65535`
deviceDirection	communicationDirection	Gözlemlenen iletişimin aldığı yön hakkında herhangi bir bilgi. Geçerli değerler: - `0` = Gelen - `1` = Giden
deviceDnsDomain	DeviceDnsDomain	Tam etki alanı adının (FQDN) DNS etki alanı bölümü
DeviceEventClassID	DeviceEventClassID	Olay türü başına benzersiz tanımlayıcı işlevi görecek dize veya tamsayı.
deviceExternalId	deviceExternalId	Olayı oluşturan cihazı benzersiz olarak tanımlayan bir ad.
deviceFacility	DeviceFacility	Olayı oluşturan tesis.
deviceInboundInterface	DeviceInboundInterface	Paket veya verilerin cihaza girdiği arabirim.
deviceNtDomain	DeviceNtDomain	Cihaz adresinin Windows etki alanı
deviceOutboundInterface	DeviceOutboundInterface	Paketin veya verilerin cihazdan ayrıldığı arabirim.
devicePayloadId	DevicePayloadId	Olayla ilişkili yükün benzersiz tanımlayıcısı.
deviceProcessName	ProcessName	Olayla ilişkili işlem adı. Örneğin, UNIX'te syslog girdisini oluşturan işlem.
deviceTranslatedAddress	DeviceTranslatedAddress	Bir IP ağında olayın başvurduğu çevrilmiş cihaz adresini tanımlar. Biçim bir Ipv4 adresidir.
dhost	DestinationHostName	Olayın ip ağında başvurduğu hedef. Biçim, bir düğüm kullanılabilir olduğunda hedef düğümle ilişkilendirilmiş bir FQDN olmalıdır. Örneğin, `host.domain.com` veya `host`.
dmac	DestinationMacAddress	Hedef MAC adresi (FQDN)
dntdom	DestinationNTDomain	Hedef adresin Windows etki alanı adı.
dpid	DestinationProcessId	Olayla ilişkili hedef işlemin kimliği.
dpriv	DestinationUserPrivileges	Hedef kullanımın ayrıcalıklarını tanımlar. Geçerli değerler: `Admninistrator`, `User`, `Guest`
dproc	DestinationProcessName	Veya gibi `telnetd` olayın hedef işleminin adı `sshd.`
Dpt	DestinationPort	Hedef bağlantı noktası. Geçerli değerler: `*0` - `65535`
Dst	DestinationIP	Bir IP ağında olayın başvurduğu hedef IpV4 adresi.
dtz	DeviceTimeZone	Olayı oluşturan cihazın saat dilimi
duid	DestinationUserId	Hedef kullanıcıyı kimliğine göre tanımlar.
duser	DestinationUserName	Hedef kullanıcıyı ada göre tanımlar.
Dvc	DeviceAddress	Olayı oluşturan cihazın IPv4 adresi.
dvchost	DeviceName	Bir düğüm kullanılabilir olduğunda cihaz düğümüyle ilişkilendirilmiş FQDN. Örneğin, `host.domain.com` veya `host`.
dvcmac	DeviceMacAddress	Olayı oluşturan cihazın MAC adresi.
dvcpid	Process ID	Olayı oluşturan cihazdaki işlemin kimliğini tanımlar.

E - I

CEF anahtar adı	CommonSecurityLog adı	Tanım
externalId	ExternalID	Kaynak cihaz tarafından kullanılan bir kimlik. Genellikle, bu değerlerin her birinin bir olayla ilişkili artan değerleri vardır.
fileCreateTime	FileCreateTime	Dosyanın oluşturulduğu zaman.
fileHash	Dosya karması	Dosyanın karması.
fileId	Dosya Kimliği	Inode gibi bir dosyayla ilişkilendirilmiş bir kimlik.
fileModificationTime	FileModificationTime	Dosyanın en son değiştirildiği zaman.
Filepath	Filepath	Dosya adı da dahil olmak üzere dosyanın tam yolu. Örneğin: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` veya `/usr/bin/zip`.
filePermission	FilePermission	Dosyanın izinleri.
Filetype	Filetype	Kanal, yuva vb. gibi dosya türü.
Fname	FileName	Yol olmadan dosyanın adı.
fsize	Filesize	Dosyanın boyutu.
Ana Bilgisayar	Bilgisayar	Syslog'dan ana bilgisayar
içinde	ReceivedBytes	Gelen aktarılan bayt sayısı.

M - P

CEF anahtar adı	CommonSecurityLog adı	Tanım
msg	Mesaj	Olay hakkında daha fazla ayrıntı veren bir ileti.
Veri Akışı Adı	Etkinlik	Olayın insan tarafından okunabilir ve anlaşılır bir açıklamasını temsil eden dize.
oldFileCreateTime	OldFileCreateTime	Eski dosyanın oluşturulduğu zaman.
oldFileHash	OldFileHash	Eski dosyanın karması.
oldFileId	OldFileId	Ve inode gibi eski dosyayla ilişkilendirilmiş kimlik.
oldFileModificationTime	OldFileModificationTime	Eski dosyanın en son değiştirildiği zaman.
oldFileName	OldFileName	Eski dosyanın adı.
oldFilePath	OldFilePath	Dosya adı da dahil olmak üzere eski dosyanın tam yolu. Örneğin, `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` veya `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Eski dosyanın izinleri.
oldFileSize	OldFileSize	Eski dosyanın boyutu.
oldFileType	OldFileType	Kanal, yuva vb. gibi eski dosyanın dosya türü.
out	SentBytes	Giden aktarılan bayt sayısı.
sonuç	EventOutcome	veya `failure`gibi `success` olayın sonucu.
Proto	Protokol	Kullanılan Katman 4 protokollerini tanımlayan aktarım protokolü. Olası değerler veya gibi `TCPUDP`protokol adlarını içerir.

R - T

CEF anahtar adı	CommonSecurityLog adı	Tanım
reason	Nedeni	Denetim olayının oluşturulma nedeni. Örneğin `badd password` veya `unknown user`. Bu bir hata veya dönüş kodu da olabilir. Örneğin: `0x1234`.
İste	RequestURL	Protokol de dahil olmak üzere bir HTTP isteği için erişilen URL. Örneğin `http://www/secure.com`
requestClientApplication	RequestClientApplication	İstekle ilişkili kullanıcı aracısı.
Requestcontext	Requestcontext	HTTP Başvuranı gibi isteğin kaynaklandığı içeriği açıklar.
requestCookies	İstek Çaylakları	İstekle ilişkili tanımlama bilgileri.
requestMethod	İstekMethod	URL'ye erişmek için kullanılan yöntem. Geçerli değerler , `GET`, vb. gibi `POST`yöntemleri içerir.
Rt	ReceiptTime	Etkinlikle ilgili olayın alındığı saat.
Önem	LogSeverity	Olayın önemini açıklayan bir dize veya tamsayı. Geçerli dize değerleri: `Unknown` , `Low`, `Medium`, `High`, `Very-High` Geçerli tamsayı değerleri şunlardır: - `0`-`3` = Düşük - `4`-`6` = Orta - `7`-`8` = Yüksek - `9`-`10` = Çok Yüksek
shost	SourceHostName	Bir IP ağında olayın başvurduğu kaynağı tanımlar. Biçim, bir düğüm kullanılabilir olduğunda kaynak düğümle ilişkilendirilmiş tam etki alanı adı (DQDN) olmalıdır. Örneğin, `host` veya `host.domain.com`.
Smac	SourceMacAddress	Kaynak MAC adresi.
sntdom	SourceNTDomain	Kaynak adresin Windows etki alanı adı.
sourceDnsDomain	SourceDnsDomain	FQDN'nin tamamının DNS etki alanı bölümü.
sourceServiceName	SourceServiceName	Olayı oluşturmakla sorumlu olan hizmet.
sourceTranslatedAddress	SourceTranslatedAddress	Olayın bir IP ağında başvurduğu çevrilmiş kaynağı tanımlar.
sourceTranslatedPort	SourceTranslatedPort	Çeviriden sonra kaynak bağlantı noktası, örneğin bir güvenlik duvarı. Geçerli bağlantı noktası numaraları şunlardır: `0` - `65535`.
Spıd	SourceProcessId	Olayla ilişkili kaynak işlemin kimliği.
spriv	SourceUserPrivileges	Kaynak kullanıcının ayrıcalıkları. Geçerli değerler şunlardır: `Administrator`, `User`, `Guest`
sproc	SourceProcessName	Olayın kaynak işleminin adı.
Spt	SourcePort	Kaynak bağlantı noktası numarası. Geçerli bağlantı noktası numaraları şunlardır: `0` - `65535`.
src	SourceIP	Bir olayın IP ağında IPv4 adresi olarak başvurduğu kaynak.
Suıd	SourceUserID	Kaynak kullanıcıyı kimliğine göre tanımlar.
suser	SourceUserName	Kaynak kullanıcıyı ada göre tanımlar.
Tür	EventType	Olay türü. Değer değerleri şunlardır: - `0`: temel olay - `1`:Toplanan - `2`: bağıntı olayı - `3`: eylem olayı Not: Bu olay temel olaylar için atlanabilir.

Özel alanlar

Aşağıdaki tablolar, müşterilerin yerleşik alanların hiçbirine uygulanmayan veriler için kullanabilecekleri CEF anahtarlarının ve CommonSecurityLog alanlarının adlarını eşler.

Özel IPv6 adres alanları

Aşağıdaki tabloda, özel veriler için kullanılabilen IPv6 adres alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.

CEF anahtar adı	CommonSecurityLog adı
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Özel sayı alanları

Aşağıdaki tabloda, özel veriler için kullanılabilen sayı alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.

CEF anahtar adı	CommonSecurityLog adı
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Özel dize alanları

Aşağıdaki tabloda, özel veriler için kullanılabilen dize alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.

CEF anahtar adı	CommonSecurityLog adı
cs1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
Cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Bahşiş

¹ DeviceCustomString alanlarını tedbirli bir şekilde kullanmanızı ve mümkün olduğunda daha belirgin, yerleşik alanlar kullanmanızı öneririz.

Özel zaman damgası alanları

Aşağıdaki tabloda, özel veriler için kullanılabilen zaman damgası alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.

CEF anahtar adı	CommonSecurityLog adı
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Özel tamsayı veri alanları

Aşağıdaki tabloda, özel veriler için kullanılabilen tamsayı alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.

CEF anahtar adı	CommonSecurityLog adı
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Zenginleştirme alanları

Aşağıdaki CommonSecurityLog alanları, kaynak cihazlardan alınan özgün olayları zenginleştirmek için Microsoft Sentinel tarafından eklenir ve CEF anahtarlarında eşlemeleri yoktur:

Tehdit bilgileri alanları

CommonSecurityLog alan adı	Tanım
IndicatorThreatType	Tehdit bilgileri akışına göre Kötü AmaçlıIP tehdit türü.
Kötü AmaçlıIP	İletide, geçerli tehdit bilgileri akışıyla bağıntılı ip adreslerini listeler.
MaliciousIPCountry	Kayıt alımı sırasındaki coğrafi bilgilere göre Kötü AmaçlıIP ülkesi/bölgesi.
Kötü AmaçlıIPLatitude	Kayıt alımı sırasındaki coğrafi bilgilere göre MaliciousIP boylamı.
MaliciousIPLongitude	Kayıt alımı sırasındaki coğrafi bilgilere göre MaliciousIP boylamı.
ReportReferenceLink	Tehdit bilgileri raporunun bağlantısı.
ThreatConfidence	Tehdit bilgileri akışına göre Kötü AmaçlıIP tehdit güveni.
ThreatDescription	Tehdit bilgileri akışına göre Kötü AmaçlıIP tehdit açıklaması.
ThreatSeverity	Kayıt alımı sırasındaki tehdit bilgileri akışına göre Kötü AmaçlıIP için tehdit önem derecesi.

Ek zenginleştirme alanları

CommonSecurityLog alan adı	Tanım
OriginalLogSeverity	CiscoASA ile tümleştirme için desteklenen her zaman boş. Günlük önem derecesi değerleri hakkında ayrıntılı bilgi için LogSeverity alanına bakın.
UzakIP	Uzak IP adresi. Bu değer, mümkünse CommunicationDirection alanını temel alır.
RemotePort	Uzak bağlantı noktası. Bu değer, mümkünse CommunicationDirection alanını temel alır.
BasitleştirilmişDeviceAction	DeviceAction değerini statik bir değer kümesiyle basitleştirir ve özgün değeri DeviceAction alanında tutar. Örneğin: `Denied`>`Deny`.
SourceSystem	Her zaman OpsManager olarak tanımlanır.

Sonraki adımlar