Mapování polí CEF a CommonSecurityLog

  • Článek
  • 7 min ke čtení

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.

Následující tabulky mapovat názvy polí Common Event Format (CEF) na názvy, které používají v protokolu CommonSecurityLog služby Microsoft Sentinel, a mohou být užitečné, když pracujete se zdrojem dat CEF v Microsoft Sentinelu.

Další informace najdete v tématu Připojení externího řešení pomocí Common Event Format.

Poznámka

K ingestování dat CEF do Log Analytics se vyžaduje pracovní prostor Microsoft Sentinelu.

A–C

Název klíče CEF Název pole CommonSecurityLog Description
Zákona Akce zařízení Akce uvedená v události .
App ApplicationProtocol Protokol používaný v aplikaci, například HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS atd.
Cnt EventCount Počet přidružený k události, který ukazuje, kolikrát byla stejná událost zjištěna.

D

Název klíče CEF Název CommonSecurityLog Description
Dodavatel zařízení DeviceVendor Řetězec, který společně s definicemi produktu a verze zařízení jednoznačně identifikuje typ odesílajícího zařízení.
Produkt zařízení DeviceProduct Řetězec, který společně s dodavateli zařízení a definicemi verzí jednoznačně identifikuje typ odesílajícího zařízení.
Verze zařízení DeviceVersion (Verze zařízení) Řetězec, který společně s definicemi produktů a dodavatelů zařízení jednoznačně identifikuje typ odesílajícího zařízení.
destinationDnsDomain DestinationDnsDomain Část DNS plně kvalifikovaného názvu domény (FQDN).
název_cílové_služby Název cílové služby Služba, na kterou událost cílí. Například, sshd.
destinationTranslatedAddress DestinationTranslatedAddress Identifikuje přeložený cíl, na který událost v síti IP odkazuje, jako IP adresu IPv4.
destinationTranslatedPort DestinationTranslatedPort Portovat po překladu, například bránu firewall.
Platná čísla portů: 0 - 65535
deviceDirection (Směr zařízení) CommunicationDirection (Směr komunikace) Všechny informace o směru pozorované komunikace. Platné hodnoty:
- 0 = Příchozí
- 1 = Odchozí
deviceDnsDomain DeviceDnsDomain Část domény DNS plně kvalifikovaného názvu domény (FQDN)
DeviceEventClassID DeviceEventClassID Řetězec nebo celé číslo, které slouží jako jedinečný identifikátor pro každý typ události.
deviceExternalID DeviceExternalID Název, který jednoznačně identifikuje zařízení generující událost.
deviceFacility DeviceFacility Zařízení, které událost generuje.
deviceInboundInterface DeviceInboundInterface Rozhraní, do kterého paket nebo data prošla do zařízení.
deviceNtDomain DeviceNtDomain Doména Windows adresy zařízení
deviceOutboundInterface DeviceOutboundInterface Rozhraní, na kterém paket nebo data opustila zařízení
devicePayloadId DEVICEPayloadId Jedinečný identifikátor datové části přidružené k události
deviceProcessName ProcessName Název procesu přidružený k události.

Například v systém UNIX proces generující položku syslog.
deviceTranslatedAddress DeviceTranslatedAddress Identifikuje přeloženou adresu zařízení, na kterou událost odkazuje, v síti IP.

Formát je adresa IPv4.
hostitel dhost Název cílového hostitele Cíl, na který událost odkazuje v síti IP.
Pokud je uzel dostupný, měl by být formátem plně kvalifikovaný název domény přidružený k cílovému uzlu. Příkladem je host.domain.com nebo host.
dmac (dmac) DestinationMacAddress Cílová adresa MAC (FQDN)
dntdom DestinationNTDomain Název Windows cílové adresy.
dpid (dpid) ID cílového procesu ID cílového procesu přidruženého k události.
dpriv DestinationUserPrivileges Definuje oprávnění pro cílové použití.
Platné hodnoty: Admninistrator , User , Guest
dproc DestinationProcessName Název cílového procesu události, například telnetd nebo sshd.
dpt DestinationPort Cílový port.
Platné hodnoty: *0 - 65535
platnou DestinationIP Cílová adresa IpV4, na kterou událost odkazuje v síti IP.
dtz DeviceTimeZone Časové pásmo zařízení, které událost vygenerovalo
DUID DestinationUserId Identifikuje cílového uživatele podle ID.
duser DestinationUserName Identifikuje cílového uživatele podle názvu.
Souběžná DeviceAddress Adresa IPv4 zařízení, které událost vygenerovala.
dvchost DeviceName Plně kvalifikovaný název domény přidružený k uzlu zařízení, když je uzel k dispozici. Příkladem je host.domain.com nebo host.
dvcmac DeviceMacAddress Adresa MAC zařízení, které událost vygenerovala.
dvcpid ID procesu Definuje ID procesu na zařízení, které událost vygenerovalo.

E-I

Název klíče CEF Název CommonSecurityLog Description
externalId ExternalID ID, které používá zdrojové zařízení. Obvykle tyto hodnoty zvyšují hodnoty, které jsou přidruženy k události.
fileCreateTime FileCreateTime Čas, kdy byl soubor vytvořen.
Hash – hodnota FileHash Hodnota hash souboru
Identifikátor Identifikátor ID přidružené k souboru, například inode.
fileModificationTime FileModificationTime Čas poslední změny souboru
filePath FilePath Úplná cesta k souboru, včetně názvu souboru Například: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe nebo /usr/bin/zip .
Oprávnění k Oprávnění k Oprávnění souboru.
fileType FileType Typ souboru, jako je například kanál, soket atd.
fname Bitmap Název souboru bez cesty.
fsize Velikost souboru Velikost souboru
Hostitel Počítač Hostitel, od syslogu
dovnitř ReceivedBytes Počet bajtů přenesených na příchozí.

M-P

Název klíče CEF Název CommonSecurityLog Description
msg Zpráva Zpráva, která poskytuje další podrobnosti o události.
Name Aktivita Řetězec, který představuje uživatelsky čitelný a srozumitelný popis události.
oldFileCreateTime OldFileCreateTime Čas, kdy byl starý soubor vytvořen.
oldFileHash OldFileHash Hodnota hash starého souboru
oldFileId OldFileId A ID přidružené ke starému souboru, například inode.
oldFileModificationTime OldFileModificationTime Čas poslední změny starého souboru
oldFileName OldFileName Název starého souboru
oldFilePath OldFilePath Úplná cesta ke starému souboru, včetně názvu souboru.
Příkladem je C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe nebo /usr/bin/zip.
oldFilePermission OldFilePermission Oprávnění starého souboru.
oldFileSize OldFileSize Velikost starého souboru
oldFileType OldFileType Typ souboru starého souboru, například kanál, soket atd.
ven SentBytes Počet bajtů přenesených na odchozí.
Výsledek Výsledek Výsledek události, například success nebo failure .
proto Protokol Transportní protokol, který identifikuje použitý protokol vrstvy 4.

Možné hodnoty zahrnují názvy protokolů, například TCP nebo UDP .

R-T

Název klíče CEF Název CommonSecurityLog Description
Žádost RequestURL Adresa URL, na kterou se přistupoval požadavek HTTP, včetně protokolu. Například http://www/secure.com.
requestClientApplication RequestClientApplication Uživatelský agent přidružený k žádosti
Třída requestContext Třída requestContext Popisuje obsah, ze kterého pochází požadavek, jako je například odkazující HTTP.
requestCookies RequestCookies Soubory cookie přidružené k žádosti
requestMethod RequestMethod Metoda použitá pro přístup k adrese URL

Platné hodnoty zahrnují metody, jako například POST , GET a tak dále.
RT ReceiptTime Čas, kdy byla přijata událost související s aktivitou.
Závažnost LogSeverity Řetězec nebo celé číslo, které popisuje důležitost události.

Platné řetězcové hodnoty: Unknown , Low , Medium , High , Very-High

Platné celočíselné hodnoty jsou:
- 0-3 = Nízká
- 4-6 = Střední
- 7-8 = Vysoká
- 9-10 = Very-High
shost SourceHostName Určuje zdroj, na který událost odkazuje v síti IP. Pokud je uzel dostupný, musí být ve formátu plně kvalifikovaný název domény (DQDN) přidružený ke zdrojovému uzlu. Příkladem je host nebo host.domain.com.
smac SourceMacAddress Adresa MAC zdroje.
sntdom SourceNTDomain Windows název domény pro zdrojovou adresu.
sourceDnsDomain SourceDnsDomain Část domény DNS úplného plně kvalifikovaného názvu domény.
sourceServiceName SourceServiceName Služba odpovědná za generování události.
sourceTranslatedAddress SourceTranslatedAddress Identifikuje přeložený zdroj, na který událost odkazuje v síti IP.
sourceTranslatedPort SourceTranslatedPort Zdrojový port po překladu, jako je například brána firewall.
Platná čísla portů jsou 0 - 65535 .
SPID SourceProcessId ID zdrojového procesu přidruženého k události
spriv SourceUserPrivileges Oprávnění zdrojového uživatele.

Platné hodnoty jsou: Administrator , User , Guest
sproc SourceProcessName Název procesu zdroje události.
spt SourcePort Číslo zdrojového portu
Platná čísla portů jsou 0 - 65535 .
src SourceIP Zdroj, na který událost odkazuje v síti IP, jako adresu IPv4.
suid SourceUserID Identifikuje zdrojového uživatele podle ID.
suser SourceUserName Identifikuje zdrojového uživatele podle názvu.
typ Typ události Typ události Hodnoty hodnot zahrnují:
- 0: základní událost
- 1: agregované
- 2: korelační událost
- 3: událost akce

Poznámka: Tato událost může být pro základní události vynechána.

Vlastní pole

V následujících tabulkách jsou namapovány názvy klíčů CEF a polí CommonSecurityLog, která jsou zákazníkům k dispozici pro použití pro data, která se nevztahují na žádná z vestavěných polí.

Vlastní pole IPv6 adresy

Následující tabulka mapuje CEF klíče a CommonSecurityLog názvy pro pole IPv6 adres, která jsou k dispozici pro vlastní data.

Název klíče CEF Název CommonSecurityLog
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
cfp1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
cfp2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
cfp3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
cfp4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

Vlastní číselná pole

Následující tabulka mapuje CEF klíče a CommonSecurityLog názvy pro pole, která jsou k dispozici pro vlastní data.

Název klíče CEF Název CommonSecurityLog
CN1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
CN2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

Pole vlastních řetězců

Následující tabulka mapuje CEF klíče a CommonSecurityLog názvy pro pole řetězců , která jsou k dispozici pro vlastní data.

Název klíče CEF Název CommonSecurityLog
CS1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
CS2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
CS4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Tip

1 Pokud je to možné, doporučujeme používat pole DeviceCustomStringně a použít konkrétnější a Vestavěná pole.

Vlastní pole časových razítek

Následující tabulka mapuje CEF klíče a CommonSecurityLog názvy pro pole časového razítka , která jsou k dispozici pro vlastní data.

Název klíče CEF Název CommonSecurityLog
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

Vlastní celočíselná datová pole

Následující tabulka mapuje CEF klíče a CommonSecurityLog názvy pro pole s celými čísly , která jsou k dispozici pro vlastní data.

Název klíče CEF Název CommonSecurityLog
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

Pole obohacení

Následující pole CommonSecurityLog se přidávají pomocí funkce Microsoft Sentinel k rozšíření původních událostí přijatých ze zdrojových zařízení a nemají mapování v CEF klíčích:

Pole analýzy hrozeb

Název pole CommonSecurityLog Description
IndicatorThreatType Typ hrozby MaliciousIP podle kanálu analýzy hrozeb.
MaliciousIP Zobrazí seznam všech IP adres ve zprávě, která se koreluje s aktuálním kanálem pro analýzu hrozeb.
MaliciousIPCountry MaliciousIP země podle geografických údajů v době ingestování záznamů.
MaliciousIPLatitude MaliciousIP Zeměpisná délka podle geografických údajů v době ingestování záznamů.
MaliciousIPLongitude MaliciousIP Zeměpisná délka podle geografických údajů v době ingestování záznamů.
ReportReferenceLink Odkaz na sestavu analýzy hrozeb
ThreatConfidence Spolehlivost hrozby MaliciousIP podle kanálu analýzy hrozeb.
ThreatDescription Popis hrozby MaliciousIP podle informačního kanálu analýzy hrozeb.
ThreatSeverity Závažnost hrozby pro MaliciousIPpodle kanálu analýzy hrozeb v době ingestování záznamů.

Další pole pro obohacení

Název pole CommonSecurityLog Description
OriginalLogSeverity Vždy prázdné, podporováno pro integraci s CiscoASA.
Podrobnosti o hodnotách závažnosti protokolu najdete v poli LogSeverity .
RemoteIP Vzdálená IP adresa.
Tato hodnota je založená na poli CommunicationDirection , pokud je to možné.
RemotePort Vzdálený port.
Tato hodnota je založená na poli CommunicationDirection , pokud je to možné.
SimplifiedDeviceAction Zjednodušuje hodnotu DeviceAction na statickou sadu hodnot a přitom udržuje původní hodnotu v poli DeviceAction .
Například: Denied > Deny .
SourceSystem Vždy definováno jako OpsManager.

Další kroky

další informace najdete v tématu Připojení vašich externích řešení pomocí běžných formátů událostí.