CEF ve CommonSecurityLog alan eşlemesi
Aşağıdaki tablolar Ortak Olay Biçimi (CEF) alan adlarını Microsoft Sentinel'in CommonSecurityLog'unda kullandıkları adlarla eşler ve Microsoft Sentinel'de bir CEF veri kaynağıyla çalışırken yararlı olabilir. Daha fazla bilgi için bkz . Azure İzleyici Aracısı ile syslog ve CEF iletilerini Microsoft Sentinel'e alma.
A - C
D
E - I
CEF anahtar adı | CommonSecurityLog adı | Açıklama |
---|---|---|
externalId | ExternalID | Kaynak cihaz tarafından kullanılan bir kimlik. Genellikle, bu değerlerin her birinin bir olayla ilişkili artan değerleri vardır. |
fileCreateTime | FileCreateTime | Dosyanın oluşturulduğu zaman. |
fileHash | Dosya karması | Dosyanın karması. |
fileId | Dosya Kimliği | Inode gibi bir dosyayla ilişkilendirilmiş bir kimlik. |
fileModificationTime | FileModificationTime | Dosyanın en son değiştirildiği zaman. |
filePath | FilePath | Dosya adı da dahil olmak üzere dosyanın tam yolu. Örneğin: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe veya /usr/bin/zip . |
filePermission | FilePermission | Dosyanın izinleri. |
fileType | FileType | Kanal, yuva vb. gibi dosya türü. |
Fname | FileName | Yol olmadan dosyanın adı. |
fsize | Dosya Boyutu | Dosyanın boyutu. |
Ana Bilgisayar | Bilgisayar | Syslog'dan ana bilgisayar |
içinde | ReceivedBytes | Gelen aktarılan bayt sayısı. |
M - P
CEF anahtar adı | CommonSecurityLog adı | Açıklama |
---|---|---|
msg | İleti | Olay hakkında daha fazla ayrıntı veren bir ileti. |
Veri Akışı Adı | Etkinlik | Olayın insan tarafından okunabilir ve anlaşılır bir açıklamasını temsil eden dize. |
oldFileCreateTime | OldFileCreateTime | Eski dosyanın oluşturulduğu zaman. |
oldFileHash | OldFileHash | Eski dosyanın karması. |
oldFileId | OldFileId | Ve inode gibi eski dosyayla ilişkilendirilmiş kimlik. |
oldFileModificationTime | OldFileModificationTime | Eski dosyanın en son değiştirildiği zaman. |
oldFileName | OldFileName | Eski dosyanın adı. |
oldFilePath | OldFilePath | Dosya adı da dahil olmak üzere eski dosyanın tam yolu. Örneğin, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe veya /usr/bin/zip . |
oldFilePermission | OldFilePermission | Eski dosyanın izinleri. |
oldFileSize | OldFileSize | Eski dosyanın boyutu. |
oldFileType | OldFileType | Kanal, yuva vb. gibi eski dosyanın dosya türü. |
out | SentBytes | Giden aktarılan bayt sayısı. |
sonuç | EventOutcome | veya failure gibi success olayın sonucu. |
Proto | Protokol | Kullanılan Katman 4 protokollerini tanımlayan aktarım protokolü. Olası değerler veya gibi TCP UDP protokol adlarını içerir. |
R - T
Özel alanlar
Aşağıdaki tablolar, müşterilerin yerleşik alanların hiçbirine uygulanmayan veriler için kullanabilecekleri CEF anahtarlarının ve CommonSecurityLog alanlarının adlarını eşler.
Özel IPv6 adres alanları
Aşağıdaki tabloda, özel veriler için kullanılabilen IPv6 adres alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.
CEF anahtar adı | CommonSecurityLog adı |
---|---|
c6a1 | DeviceCustomIPv6Address1 |
c6a1Label | DeviceCustomIPv6Address1Label |
c6a2 | DeviceCustomIPv6Address2 |
c6a2Label | DeviceCustomIPv6Address2Label |
c6a3 | DeviceCustomIPv6Address3 |
c6a3Label | DeviceCustomIPv6Address3Label |
c6a4 | DeviceCustomIPv6Address4 |
c6a4Label | DeviceCustomIPv6Address4Label |
cfp1 | DeviceCustomFloatingPoint1 |
cfp1Label | deviceCustomFloatingPoint1Label |
cfp2 | DeviceCustomFloatingPoint2 |
cfp2Label | deviceCustomFloatingPoint2Label |
cfp3 | DeviceCustomFloatingPoint3 |
cfp3Label | deviceCustomFloatingPoint3Label |
cfp4 | DeviceCustomFloatingPoint4 |
cfp4Label | deviceCustomFloatingPoint4Label |
Özel sayı alanları
Aşağıdaki tabloda, özel veriler için kullanılabilen sayı alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.
CEF anahtar adı | CommonSecurityLog adı |
---|---|
cn1 | DeviceCustomNumber1 |
cn1Label | DeviceCustomNumber1Label |
cn2 | DeviceCustomNumber2 |
cn2Label | DeviceCustomNumber2Label |
cn3 | DeviceCustomNumber3 |
cn3Label | DeviceCustomNumber3Label |
Özel dize alanları
Aşağıdaki tabloda, özel veriler için kullanılabilen dize alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.
CEF anahtar adı | CommonSecurityLog adı |
---|---|
cs1 | DeviceCustomString1 1 |
cs1Label | DeviceCustomString1Label 1 |
cs2 | DeviceCustomString2 1 |
cs2Label | DeviceCustomString2Label 1 |
cs3 | DeviceCustomString3 1 |
cs3Label | DeviceCustomString3Label 1 |
cs4 | DeviceCustomString4 1 |
cs4Label | DeviceCustomString4Label 1 |
cs5 | DeviceCustomString5 1 |
cs5Label | DeviceCustomString5Label 1 |
cs6 | DeviceCustomString6 1 |
cs6Label | DeviceCustomString6Label 1 |
flexString1 | FlexString1 |
flexString1Label | FlexString1Label |
flexString2 | FlexString2 |
flexString2Label | FlexString2Label |
İpucu
1 DeviceCustomString alanlarını tedbirli bir şekilde kullanmanızı ve mümkün olduğunda daha belirgin, yerleşik alanlar kullanmanızı öneririz.
Özel zaman damgası alanları
Aşağıdaki tabloda, özel veriler için kullanılabilen zaman damgası alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.
CEF anahtar adı | CommonSecurityLog adı |
---|---|
deviceCustomDate1 | DeviceCustomDate1 |
deviceCustomDate1Label | DeviceCustomDate1Label |
deviceCustomDate2 | DeviceCustomDate2 |
deviceCustomDate2Label | DeviceCustomDate2Label |
flexDate1 | FlexDate1 |
flexDate1Label | FlexDate1Label |
Özel tamsayı veri alanları
Aşağıdaki tabloda, özel veriler için kullanılabilen tamsayı alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.
CEF anahtar adı | CommonSecurityLog adı |
---|---|
flexNumber1 | FlexNumber1 |
flexNumber1Label | FlexNumber1Label |
flexNumber2 | FlexNumber2 |
flexNumber2Label | FlexNumber2Label |
Zenginleştirme alanları
Aşağıdaki CommonSecurityLog alanları, kaynak cihazlardan alınan özgün olayları zenginleştirmek için Microsoft Sentinel tarafından eklenir ve CEF anahtarlarında eşlemeleri yoktur:
Tehdit bilgileri alanları
CommonSecurityLog alan adı | Açıklama |
---|---|
IndicatorThreatType | Tehdit bilgileri akışına göre Kötü AmaçlıIP tehdit türü. |
Kötü AmaçlıIP | İletide, geçerli tehdit bilgileri akışıyla bağıntılı ip adreslerini listeler. |
MaliciousIPCountry | Kayıt alımı sırasındaki coğrafi bilgilere göre Kötü AmaçlıIP ülkesi/bölgesi. |
Kötü AmaçlıIPLatitude | Kayıt alımı sırasındaki coğrafi bilgilere göre MaliciousIP boylamı. |
MaliciousIPLongitude | Kayıt alımı sırasındaki coğrafi bilgilere göre MaliciousIP boylamı. |
ReportReferenceLink | Tehdit bilgileri raporunun bağlantısı. |
ThreatConfidence | Tehdit bilgileri akışına göre Kötü AmaçlıIP tehdit güveni. |
ThreatDescription | Tehdit bilgileri akışına göre Kötü AmaçlıIP tehdit açıklaması. |
ThreatSeverity | Kayıt alımı sırasındaki tehdit bilgileri akışına göre Kötü AmaçlıIP için tehdit önem derecesi. |
Diğer zenginleştirme alanları
CommonSecurityLog alan adı | Açıklama |
---|---|
OriginalLogSeverity | CiscoASA ile tümleştirme için desteklenen her zaman boş. Günlük önem derecesi değerleri hakkında ayrıntılı bilgi için LogSeverity alanına bakın. |
UzakIP | Uzak IP adresi. Bu değer, mümkünse CommunicationDirection alanını temel alır. |
RemotePort | Uzak bağlantı noktası. Bu değer, mümkünse CommunicationDirection alanını temel alır. |
BasitleştirilmişDeviceAction | DeviceAction değerini statik bir değer kümesiyle basitleştirir ve özgün değeri DeviceAction alanında tutar. Örneğin: Denied >Deny . |
SourceSystem | Her zaman OpsManager olarak tanımlanır. |