分享方式:

CEF 和 CommonSecurityLog 欄位對應

  • 文章

下表會將 Common Event Format (CEF) 功能變數名稱對應至他們在 Sentinel 的 CommonSecurityLog Microsoft 中使用的名稱,而且當您在 Microsoft Sentinel 中使用 CEF 數據源時,可能會很有説明。 如需詳細資訊,請參閱 使用 Azure 監視器代理程式內嵌 Syslog 和 CEF 訊息至 Microsoft Sentinel

A - C

CEF 金鑰名稱 CommonSecurityLog 功能變數名稱 描述
act DeviceAction 事件中所提及的動作。
應用程式 ApplicationProtocol 應用程式中所使用的通訊協定,例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等等。
cat DeviceEventCategory 表示原始裝置指派的類別。 裝置通常會使用自己的分類架構來分類事件。 例如: /Monitor/Disk/Read
cnt EventCount 與事件相關聯的計數,顯示觀察到相同事件的次數。

D

CEF 金鑰名稱 CommonSecurityLog 名稱 描述
裝置廠商 DeviceVendor 字串,連同裝置產品和版本定義,可唯一識別傳送裝置的類型。
裝置產品 DeviceProduct 字串,連同裝置廠商和版本定義,可唯一識別傳送裝置的類型。
裝置版本 DeviceVersion 字串,連同裝置產品和廠商定義,可唯一識別傳送裝置的類型。
destinationDnsDomain DestinationDnsDomain 完整功能變數名稱的 DNS 部分(FQDN)。
destinationServiceName DestinationServiceName 事件的目標服務。 例如: sshd
destinationTranslatedAddress DestinationTranslatedAddress 將IP網路中事件所參考的已轉譯目的地識別為IPv4IP位址。
destinationTranslatedPort DestinationTranslatedPort 轉譯之後的埠,例如防火牆。
有效的埠號碼: 0 - 65535
deviceDirection CommunicationDirection 所觀察通訊方向的任何資訊。 有效值:
- 0 = 輸入
- 1 = 輸出
deviceDnsDomain DeviceDnsDomain 完整網域名稱的 DNS 網域部分 (FQDN)
DeviceEventClassID DeviceEventClassID 做為每個事件類型唯一標識碼的字串或整數。
deviceExternalId deviceExternalId 可唯一識別產生事件的裝置名稱。
deviceFacility DeviceFacility 產生事件的設施。
deviceInboundInterface DeviceInboundInterface 封包或數據進入裝置的介面。
deviceNtDomain DeviceNtDomain 裝置位址的 Windows 網域
deviceOutboundInterface DeviceOutboundInterface 封包或數據離開裝置的介面。
devicePayloadId DevicePayloadId 與事件相關聯之承載的唯一標識符。
deviceProcessName ProcessName 與事件相關聯的進程名稱。

例如,在 UNIX 中,產生 syslog 項目的程式。
deviceTranslatedAddress DeviceTranslatedAddress 識別IP網路中事件所參考的已翻譯裝置位址。

格式為 Ipv4 位址。
dhost DestinationHostName 事件在IP網路中參考的目的地。
當節點可用時,格式應該是與目的地節點相關聯的 FQDN。 例如,host.domain.comhost
dmac DestinationMacAddress 目的地 MAC 位址 (FQDN)
dntdom DestinationNTDomain 目的地地址的 Windows 功能變數名稱。
dpid DestinationProcessId 與事件相關聯的目的地進程標識碼。
朝鮮文 DestinationUserPrivileges 定義目的地使用的許可權。
有效值:Admninistrator、、 UserGuest
朝鮮 DestinationProcessName 事件目的地進程的名稱,例如 telnetdsshd.
dpt DestinationPort 目的地連接埠。
有效值: *0 - 65535
dst DestinationIP 事件在IP網路中參考的目的地IpV4位址。
dtz DeviceTimeZone 產生事件的裝置時區
duid DestinationUserId 依標識碼識別目的地使用者。
duser DestinationUserName 依名稱識別目的地使用者。
dvc DeviceAddress 產生事件的裝置 IPv4 位址。
dvchost DeviceName 當節點可用時,與裝置節點相關聯的 FQDN。 例如,host.domain.comhost
dvcmac DeviceMacAddress 產生事件的裝置 MAC 位址。
dvcpid 處理序識別碼 定義裝置上產生事件的處理程式標識碼。

E - I

CEF 金鑰名稱 CommonSecurityLog 名稱 描述
externalId ExternalID 原始裝置所使用的標識碼。 這些值通常會有遞增的值,每個值都與事件相關聯。
fileCreateTime FileCreateTime 建立檔案的時間。
fileHash FileHash 檔案的哈希。
fileId FileID 與檔案相關聯的標識碼,例如 inode。
fileModificationTime FileModificationTime 上次修改檔案的時間。
filePath FilePath 檔案的完整路徑,包括檔名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe/usr/bin/zip
filePermission FilePermission 檔案的許可權。
fileType FileType 檔類型,例如管道、套接字等等。
fname FileName 檔名,不含路徑。
fsize FileSize 檔案的大小。
Host 電腦 主機,來自 Syslog
in ReceivedBytes 傳輸的輸入位元組數目。

M - P

CEF 金鑰名稱 CommonSecurityLog 名稱 描述
msg 訊息 訊息,提供事件的詳細數據。
名稱 活動 字串,表示人類可讀且可理解的事件描述。
oldFileCreateTime OldFileCreateTime 建立舊檔案的時間。
oldFileHash OldFileHash 舊檔案的哈希。
oldFileId OldFileId 與舊檔案相關聯的標識符,例如 inode。
oldFileModificationTime OldFileModificationTime 上次修改舊檔案的時間。
oldFileName OldFileName 舊檔案的名稱。
oldFilePath OldFilePath 舊檔案的完整路徑,包括檔名。
例如,C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe/usr/bin/zip
oldFilePermission OldFilePermission 舊檔案的許可權。
oldFileSize OldFileSize 舊檔案的大小。
oldFileType OldFileType 舊檔案的檔類型,例如管道、套接字等等。
out SentBytes 傳輸輸出的位元組數目。
結果 EventOutcome 事件的結果,例如 successfailure
proto 通訊協定 識別所使用第 4 層通訊協定的傳輸通訊協定。

可能的值包括通訊協定名稱,例如 TCPUDP

R - T

CEF 金鑰名稱 CommonSecurityLog 名稱 描述
reason 原因 產生稽核事件的原因。 例如,badd passwordunknown user。 這可能是錯誤或傳回碼。 例如: 0x1234
Request RequestURL HTTP 要求存取的 URL,包括通訊協定。 例如,http://www/secure.com
requestClientApplication RequestClientApplication 與要求相關聯的使用者代理程式。
requestContext RequestContext 描述要求的來源內容,例如 HTTP 查閱者。
requestCookies RequestCookies 與要求相關聯的Cookie。
requestMethod RequestMethod 用來存取 URL 的方法。

有效值包括的方法,例如 POSTGET等等。
rt ReceiptTime 收到與活動相關的事件的時間。
嚴重性 LogSeverity 描述事件重要性的字串或整數。

有效的字串值: Unknown 、、LowHighMediumVery-High

有效的整數值為:
- 0-3 = 低
- 4-6 = 中
- 7-8 = 高
- 9-10 = 非常高
shost SourceHostName 識別事件在IP網路中參考的來源。 當節點可用時,格式應該是與來源節點相關聯的完整功能變數名稱 (DQDN)。 例如,hosthost.domain.com
smac SourceMacAddress 來源 MAC 位址。
sntdom SourceNTDomain 來源位址的 Windows 功能變數名稱。
sourceDnsDomain SourceDnsDomain 完整 FQDN 的 DNS 網域部分。
sourceServiceName SourceServiceName 負責產生事件的服務。
sourceTranslatedAddress SourceTranslatedAddress 識別事件在IP網路中參考的已翻譯來源。
sourceTranslatedPort SourceTranslatedPort 轉譯后的來源埠,例如防火牆。
有效的埠號碼為 0 - 65535
spid SourceProcessId 與事件相關聯的來源進程標識碼。
spriv SourceUserPrivileges 來源用戶的許可權。

有效值包括:Administrator、、 UserGuest
sproc SourceProcessName 事件來源進程的名稱。
spt SourcePort 來源埠號碼。
有效的埠號碼為 0 - 65535
src SourceIP 事件在IP網路中參考的來源,作為IPv4位址。
suid SourceUserID 依標識碼識別來源使用者。
suser SourceUserName 依名稱識別來源使用者。
type EventType 事件類型。 值包括:
- 0:基底事件
- 1:聚合
- 2:相互關聯事件
- 3:action 事件

注意:基底事件可以省略此事件。

自訂欄位

下表對應客戶可用於不套用至任何內建欄位之數據的 CEF 索引鍵和 CommonSecurityLog 字段的名稱。

自訂 IPv6 位址欄位

下表對應適用於自定義數據的 IPv6 位址欄位的 CEF 索引鍵和 CommonSecurityLog 名稱

CEF 金鑰名稱 CommonSecurityLog 名稱
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
cfp1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
cfp2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
cfp3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
cfp4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

自訂數位欄位

下表對應 CEF 索引鍵和 CommonSecurityLog 名稱, 以取得自定義數據可用的數位 欄位。

CEF 金鑰名稱 CommonSecurityLog 名稱
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

自訂字串欄位

下表對應自定義數據可用字串字段的 CEF 索引鍵和 CommonSecurityLog 名稱。

CEF 金鑰名稱 CommonSecurityLog 名稱
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

提示

1 建議您謹慎使用 DeviceCustomString 欄位,並盡可能使用更具體的內建字段。

自訂時間戳欄位

下表對應 CEF 索引鍵和 CommonSecurityLog 名稱, 以取得自定義數據的時間戳 字段。

CEF 金鑰名稱 CommonSecurityLog 名稱
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

自訂整數數據欄位

下表對應自定義數據可用整數欄位的 CEF 索引鍵和 CommonSecurityLog 名稱。

CEF 金鑰名稱 CommonSecurityLog 名稱
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

擴充欄位

Microsoft Sentinel 新增下列 CommonSecurityLog 欄位,以擴充從來源裝置接收的原始事件,而且在 CEF 索引鍵中沒有對應:

威脅情報欄位

CommonSecurityLog 功能變數名稱 描述
IndicatorThreatType 根據威脅情報摘要,惡意IP威脅類型。
MaliciousIP 列出訊息中與目前威脅情報摘要相互關聯的任何IP位址。
MaliciousIPCountry 根據記錄擷取時的地理資訊,惡意IP國家/地區。
MaliciousIPLatitude 惡意IP經度,根據記錄擷取時的地理資訊。
MaliciousIPLongitude 惡意IP經度,根據記錄擷取時的地理資訊。
ReportReferenceLink 連結至威脅情報報告。
ThreatConfidence 根據 威脅情報摘要,惡意IP 威脅信賴度。
ThreatDescription 根據 威脅情報摘要的 MaliciousIP 威脅描述。
ThreatSeverity 根據記錄擷取時的威脅情報摘要,惡意資訊的威脅嚴重性

其他擴充欄位

CommonSecurityLog 功能變數名稱 描述
OriginalLogSeverity 一律是空的,支援與 CiscoASA 整合。
如需記錄嚴重性值的詳細資訊,請參閱 LogSeverity 字段。
RemoteIP 遠端IP位址。
如果可能,此值會以 CommunicationDirection 字段為基礎
RemotePort 遠端埠。
如果可能,此值會以 CommunicationDirection 字段為基礎
SimplifiedDeviceAction DeviceAction 值簡化為靜態值集,同時將原始值 保留在 DeviceAction 字段中。
例如: Denied>Deny
SourceSystem 一律定義為 OpsManager

相關內容