CEF 與 CommonSecurityLog 欄位映射

以下表格將 CEF) 欄位名稱 (Common Event Format 對應到 Microsoft Sentinel 的 CommonSecurityLog 中使用的名稱，對於使用 CEF 資料來源Microsoft Sentinel可能會有幫助。 欲了解更多資訊，請參閱 Ingest syslog and CEF messages to Microsoft Sentinel with the Azure Monitor Agent。

A - C

CEF 鍵名	CommonSecurityLog 欄位名稱	描述
行動	裝置行動	活動中提到的行動。
應用程式	應用協定	應用程式中使用的協定，例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等。
貓	裝置事件類別	代表由起始裝置所分配的類別。 裝置通常使用自己的分類架構來分類事件。 例如：/Monitor/Disk/Read。
碳納米管	事件計數	與事件相關的計數，顯示同一事件被觀測到多少次。

D

CEF 鍵名	CommonSecurityLog 名稱	描述
裝置供應商	裝置供應商	這個字串連同裝置產品和版本定義，能唯一識別發送裝置的類型。
裝置產品	裝置產品	該字串連同裝置廠商及版本定義，能唯一識別發送裝置的類型。
裝置版本	裝置版本	將這些資料串連起來，結合裝置產品和廠商定義，可以唯一識別出發送裝置的類型。
destinationDnsDomain	DestinationDnsDomain	完全合格網域名稱中的 DNS 部分 (FQDN) 。
destinationServiceName	目的地服務名稱	活動所針對的服務。 例如，sshd。
destinationTranslatedAddress	目的地翻譯地址	在 IP 網路中，將事件所指的轉譯目的地識別為 IPv4 IP 位址。
目的地翻譯埠	目的地翻譯港口	移植，經過翻譯後，例如防火牆。 有效的埠號： 0 - 65535
裝置方向	通訊方向	任何關於觀察到通訊方向的資訊。 有效值： - 0 = 進站 - 1 = 出站
deviceDnsDomain	DeviceDnsDomain	FQDN (完整合格網域名稱中的 DNS 網域部分)
DeviceEventClassID	DeviceEventClassID	字串或整數，作為事件類型中唯一的識別碼。
deviceExternalId	deviceExternalId	一個唯一識別產生事件裝置的名稱。
裝置設施	裝置設施	產生事件的設施。
deviceInboundInterface	DeviceInboundInterface	封包或資料進入裝置的介面。
deviceNtDomain	裝置NtDomain	裝置位址的 Windows 網域
裝置外接介面	裝置外接介面	封包或資料離開裝置的介面。
裝置PayloadID	裝置PayloadID	事件相關有效載荷的唯一識別碼。
deviceProcessName	程序名稱	與事件相關的程序名稱。 例如，在 UNIX 中，產生 syslog 條目的程序。
裝置翻譯地址	裝置翻譯位址	識別事件所指的 IP 網路中轉換後的裝置位址。 格式為 IPv4 位址。
多斯多爾特	目的地主機名稱	事件在 IP 網路中所指的目的地。 當有節點可用時，格式應為與目的節點相關聯的 FQDN。 例如，host.domain.com 或 host。
DMAC	DestinationMacAddress	目的MAC位址 (FQDN)
DNTDOM	目的地NTDomain	目的地地址的 Windows 網域名稱。
DPID（數位數位）	目的地程序ID	與事件相關的目的地程序的 ID。
DPRIV	DestinationUserPrivileges	定義目的地使用的權限。 有效值： Administrator， User， Guest
DPROC	DestinationProcessName	事件的目的地程序名稱，例如 telnetd 或 sshd.
DPT	目的地港	目的地港口。 有效價值觀： *0 - 65535
夏令時間	目的地IP	事件所指的 IP 網路中的目的地 IpV4 位址。
DTZ	裝置時區	產生事件的裝置時區
杜伊德	目的地使用者ID	透過 ID 識別目的地使用者。
杜瑟	DestinationUserName	透過名稱識別目的地使用者。
DVC	裝置位址	產生事件的裝置的 IPv4 位址。
DVChost	DeviceName	當節點可用時，與裝置節點相關聯的 FQDN。 例如，host.domain.com 或 host。
DVCMAC	DeviceMacAddress	產生事件的裝置的 MAC 位址。
DVCPID	程序識別碼	定義產生事件的裝置程序的 ID。

E - I

CEF 鍵名	CommonSecurityLog 名稱	描述
外部Id	ExternalID	一個由原始裝置使用的 ID。 通常這些數值會以遞增的數值對應事件。
檔案創建時間	檔案創建時間	檔案建立的時間。
檔案雜湊	檔案雜湊	檔案雜湊。
檔案識別	檔案識別	一個與檔案相關的 ID，例如 inode。
檔案修改時間	檔案修改時間	檔案最後修改的時間。
檔案路徑	FilePath	完整路徑，包括檔名。 例如： C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。
file許可	檔案權限	檔案的權限。
檔案類型	FileType	檔案類型，例如管道、套接字等等。
FNAME	FileName	檔案名稱，但沒有路徑。
FSIZE	FileSize	檔案的大小。
主機	電腦	Host，來自 Syslog
在	接收位元組	輸入的位元組數。

M - P

CEF 鍵名	CommonSecurityLog 名稱	描述
msg	郵件	一則訊息提供更多關於該活動的細節。
名稱	活動	一個字串代表人類可讀且易懂的事件描述。
oldFileCreateTime	OldFileCreateTime	舊檔案被建立的時候。
oldFileHash	舊檔案雜湊	舊檔案的雜湊值。
oldFileID	舊檔案識別	以及與舊檔案相關的 ID，例如 inode。
oldFileModificationTime	OldFileModificationTime	舊檔案最後一次修改的時間。
oldFileName	舊檔案名稱	舊檔案名稱。
oldFilePath	舊檔案路徑	舊檔案的完整路徑，包括檔名。 例如，C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。
oldFilePermission	OldFilePermission	舊檔案的權限。
舊檔案大小	舊檔案大小	舊檔案的大小。
oldFileType	舊檔案類型	舊檔案的檔案類型，例如管線、套接字等。
出去	發送位元組	外傳的位元組數。
結果	事件結果	事件結果，例如 success 或 failure。
原始	Protocol (通訊協定)	識別所使用的第四層協定的傳輸協定。 可能的值包括協定名稱，例如 TCP 或 UDP。

R - T

CEF 鍵名	CommonSecurityLog 名稱	描述
reason	原因	為什麼會產生審計事件。 例如，badd password 或 unknown user。 這也可能是錯誤或退回代碼。 例如：0x1234。
請求	請求網址	用於 HTTP 請求所存取的 URL，包含該協定。 例如，http://www/secure.com
requestClientApplication	RequestClientApplication	與請求相關的使用者代理。
請求上下文	請求上下文	描述請求來源的內容，例如 HTTP Referrer。
requestCookies	請求餅乾	與請求相關的 Cookies。
requestMethod	RequestMethod	存取網址的方法。 有效值包括方法 POST如 、 GET、 等等。
RT	收據時間	該活動與活動相關的時間被接收。
嚴重性	對數嚴重度	一個描述事件重要性的字串或整數。 有效字串值： Unknown ， Low， MediumHighVery-High 有效的整數值如下： - 0 - 3 = 低 - 4 - 6 = 中等 - 7 - 8 = 高 - 9 - 10 = Very-High
肖斯特	來源HostName	識別該事件在 IP 網路中所指的來源。 格式應為完整限定的網域名稱 (FQDN) ，且在有節點可用時與來源節點相關聯。 例如，host 或 host.domain.com。
SMAC	來源MacAddress	來源MAC位址。
社會	來源NTDomain	來源地址的 Windows 網域名稱。
資料來源：DnsDomain	來源DnsDomain	DNS 網域是完整 FQDN 的一部分。
sourceServiceName	SourceServiceName	負責產生事件的服務。
來源翻譯地址	來源翻譯地址	識別事件在 IP 網路中所指涉的轉譯來源。
來源翻譯埠	來源翻譯埠	翻譯後的原始碼埠，例如防火牆。 有效的埠號為 0 - 65535。
斯皮德	SourceProcessID	與事件相關的來源程序的 ID。
SPRIV	SourceUserPrivileges	來源使用者的權限。 有效值包括： Administrator， User， Guest
sproc	SourceProcessName	事件來源流程的名稱。
SPT	SourcePort	來源埠號。 有效的埠號為 0 - 65535。
SRC	資料來源IP	事件在 IP 網路中所指的來源，稱為 IPv4 位址。
蘇伊德	SourceUserID	透過 ID 識別來源使用者。
蘇瑟	來源使用者名稱	透過名稱標示來源使用者。
類型	EventType	事件類型。 價值價值包括： - 0：基礎事件 - 1：彙總 - 2：相關事件 - 3：行動事件 注意：本活動可省略。

自訂欄位

以下表格映射了 CEF 金鑰與 CommonSecurityLog 欄位的名稱，這些欄位可供客戶用於不適用於任何內建欄位的資料。

自訂 IPv6 位址欄位

下表對應了 IPv6 位址欄位的 CEF 金鑰與 CommonSecurityLog 名稱，這些欄位可用於自訂資料。

CEF 鍵名	CommonSecurityLog 名稱
C6A1	裝置自訂IPv6地址1
c6a1標籤	DeviceCustomIPv6Address1Label
C6A2	裝置自訂IPv6地址2
c6a2標籤	DeviceCustomIPv6Address2Label
C6A3	DeviceCustomIPv6Address3
c6a3標籤	DeviceCustomIPv6Address3Label
C6A4	裝置自訂IPv6地址4
c6a4標籤	DeviceCustomIPv6Address4Label
CFP1	DeviceCustomFloatingPoint1
cfp1標籤	deviceCustomFloatingPoint1Label
CFP2	DeviceCustomFloatingPoint2
cfp2標籤	deviceCustomFloatingPoint2Label
CFP3	裝置自訂浮點3
cfp3標籤	deviceCustomFloatingPoint3Label
CFP4	DeviceCustomFloatingPoint4
cfp4標籤	deviceCustomFloatingPoint4Label

自訂數字欄位

下表將 CEF 金鑰與 CommonSecurityLog 名稱對應出可用於自訂資料的 數字 欄位。

CEF 鍵名	CommonSecurityLog 名稱
CN1	裝置自訂編號1
cn1標籤	裝置自訂編號1標籤
CN2	裝置自訂編號2
cn2標籤	裝置自訂編號2標籤
CN3	裝置自訂編號3
cn3標籤	裝置自訂編號3標籤

自訂字串欄位

下表對應了 CEF 金鑰與 CommonSecurityLog 可用於自訂資料的 字串 欄位名稱。

CEF 鍵名	CommonSecurityLog 名稱
CS1	DeviceCustomString1 1
cs1標籤	DeviceCustomString1Label 1
CS2	DeviceCustomString2 1
cs2標籤	DeviceCustomString2Label 1
CS3	DeviceCustomString3 1
cs3標籤	DeviceCustomString3Label 1
CS4	DeviceCustomString4 1
cs4標籤	DeviceCustomString4Label 1
CS5	DeviceCustomString5 1
cs5標籤	DeviceCustomString5Label 1
CS6	DeviceCustomString6 1
cs6標籤	DeviceCustomString6Label 1
flexString1	FlexString1
flexString1標籤	FlexString1標籤
flexString2	FlexString2
flexString2Label	FlexString2標籤

提示

¹ 我們建議您盡量節制使用 DeviceCustomString 欄位，並盡可能使用更具體的內建欄位。

自訂時間戳欄位

下表將 CEF 金鑰與 CommonSecurityLog 名稱對應可用於自訂資料的時間 戳欄位 。

CEF 鍵名	CommonSecurityLog 名稱
deviceCustomDate1	裝置自訂日期1
deviceCustomDate1Label	裝置自訂日期1標籤
deviceCustomDate2	DeviceCustomDate2
裝置自訂日期2標籤	裝置自訂日期2標籤
彈性日期1	彈性日期1
彈性約會1標籤	FlexDate1標籤

自訂整數資料欄位

下表映射了 CEF 金鑰與 CommonSecurityLog 中可用於自訂資料的 整數 欄位名稱。

CEF 鍵名	CommonSecurityLog 名稱
彈性編號1	FlexNumber1
flexNumber1Label	FlexNumber1Label
彈性編號2	FlexNumber2
flexNumber2Label	FlexNumber2Label

濃縮場

以下 CommonSecurityLog 欄位由 Microsoft Sentinel 新增，以豐富來自來源裝置的原始事件，且 CEF 金鑰中沒有映射：

威脅情報領域

CommonSecurityLog 欄位名稱	描述
IndicatorThreatType	根據威脅情報動態，惡意 IP 威脅類型。
惡意IP	列出訊息中與當前威脅情報來源相關的任何 IP 位址。
惡意IPCountry	根據記錄擷取時的地理資訊，惡意 IP 的國家/地區。
MaliciousIPLatitude	根據記錄被攝取時的地理資訊，惡意 IP 經度。
惡意IPLongitude	根據記錄被攝取時的地理資訊，惡意 IP 經度。
報告參考連結	威脅情報報告連結。
威脅信心	根據威脅情報來源，惡意 IP 威脅信心。
威脅描述	根據威脅情報來源，惡意 IP 的威脅描述。
威脅嚴重度	根據記錄被攝取時的威脅情報資料，惡意 IP的威脅嚴重程度。

其他濃縮領域

CommonSecurityLog 欄位名稱	描述
原始日誌嚴重性	永遠是空的，支援與 CiscoASA 整合。 關於日誌嚴重度值的詳細資訊，請參見 LogSeverity 欄位。
遠端IP	遠端 IP 位址。 此值基於 CommunicationDirection 欄位（若可能）。
遠端港口	遠端埠口。 此值基於 CommunicationDirection 欄位（若可能）。
簡化裝置動作	將 DeviceAction 的值簡化為靜態的一組值，同時保留 DeviceAction 欄位中的原始值。 例如： Denied>Deny。
原始碼系統	永遠定義為 OpsManager。

相關內容

• Ingest syslog and CEF messages to Microsoft Sentinel with the Azure Monitor Agent
• CommonSecurityLog