Pemetaan bidang CEF dan CommonSecurityLog
Tabel berikut memetakan nama bidang Common Event Format (CEF) ke nama yang mereka gunakan di CommonSecurityLog Microsoft Sentinel, dan mungkin membantu saat Anda bekerja dengan sumber data CEF di Microsoft Sentinel.
Untuk informasi selengkapnya, lihat Menyambungkan solusi eksternal Anda menggunakan Common Event Format.
Penting
Pada 28 Februari 2023, kami memperkenalkan perubahan pada skema tabel CommonSecurityLog. Setelah perubahan ini, Anda mungkin perlu meninjau dan memperbarui kueri kustom. Untuk detail selengkapnya, lihat bagian tindakan yang direkomendasikan di posting blog ini. Konten siap pakai (deteksi, kueri berburu, buku kerja, pengurai, dll.) telah diperbarui oleh Microsoft Azure Sentinel.
Catatan
Ruang kerja Microsoft Sentinel diperlukan untuk menyerap data CEF ke Log Analytics.
A - C
D
E - I
Nama kunci CEF | Nama CommonSecurityLog | Deskripsi |
---|---|---|
externalId | externalId | ID yang digunakan oleh perangkat asal. Biasanya, nilai-nilai ini memiliki nilai yang meningkat yang masing-masing terkait dengan suatu peristiwa. |
fileCreateTime | FileCreateTime | Waktu ketika file dibuat. |
fileHash | FileHash | Hash dari file. |
fileId | FileID | ID yang terkait dengan file, seperti inode. |
fileModificationTime | FileModificationTime | Waktu saat file terakhir diubah. |
filePath | FilePath | Jalur lengkap ke file, termasuk nama file. Sebagai contoh: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe atau /usr/bin/zip . |
filePermission | FilePermission | Izin file. |
fileType | FileType | Jenis file, seperti alur, soket, dan sebagainya. |
fnama | FileName | Nama file, tanpa jalur. |
fsize | FileSize | Ukuran file. |
Host | Komputer | Host, dari Syslog |
in | ReceivedBytes | Jumlah byte yang ditransfer masuk. |
M - P
Nama kunci CEF | Nama CommonSecurityLog | Deskripsi |
---|---|---|
msg | Pesan | Pesan yang memberikan detail lebih lanjut tentang peristiwa tersebut. |
Nama | Aktivitas | Untai yang mewakili deskripsi peristiwa yang dapat dibaca dan dipahami manusia. |
oldFileCreateTime | OldFileCreateTime | Waktu ketika file lama dibuat. |
oldFileHash | OldFileHash | Hash dari file lama. |
oldFileId | OldFileId | Dan ID yang terkait dengan file lama, seperti inode. |
oldFileModificationTime | OldFileModificationTime | Waktu saat file lama terakhir diubah. |
oldFileName | OldFileName | Nama dari file lama. |
oldFilePath | OldFilePath | Jalur lengkap ke file lama, termasuk nama file. Misalnya, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe atau /usr/bin/zip . |
oldFilePermission | OldFilePermission | Izin dari file lama. |
oldFileSize | OldFileSize | Ukuran file lama. |
oldFileType | OldFileType | Jenis file lama, seperti alur, soket, dan sebagainya. |
out | SentBytes | Jumlah byte yang keluar ditransfer masuk. |
Hasil | EventOutcome | Hasil peristiwa, seperti success atau failure . |
proto | Protokol | Protokol transportasi yang mengidentifikasi protokol Lapisan-4 yang digunakan. Nilai yang memungkinkan mencakup nama protokol, seperti TCP atau UDP . |
R - T
Bidang isian kustom
Tabel berikut memetakan nama kunci CEF dan bidang CommonSecurityLog yang tersedia bagi pelanggan untuk digunakan untuk data yang tidak berlaku untuk bidang bawaan mana pun.
Bidang alamat IPv6 kustom
Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang alamat IPv6 yang tersedia untuk data khusus.
Nama kunci CEF | Nama CommonSecurityLog |
---|---|
c6a1 | DeviceCustomIPv6Address1 |
c6a1Label | DeviceCustomIPv6Address1Label |
c6a2 | DeviceCustomIPv6Address2 |
c6a2Label | DeviceCustomIPv6Address2Label |
c6a3 | DeviceCustomIPv6Address3 |
c6a3Label | DeviceCustomIPv6Address3Label |
c6a4 | DeviceCustomIPv6Address4 |
c6a4Label | DeviceCustomIPv6Address4Label |
cfp1 | DeviceCustomFloatingPoint1 |
cfp1Label | deviceCustomFloatingPoint1Label |
cfp2 | DeviceCustomFloatingPoint2 |
cfp2Label | deviceCustomFloatingPoint2Label |
cfp3 | DeviceCustomFloatingPoint3 |
cfp3Label | deviceCustomFloatingPoint3Label |
cfp4 | DeviceCustomFloatingPoint4 |
cfp4Label | deviceCustomFloatingPoint4Label |
Bidang nomor khusus
Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang nomor yang tersedia untuk data khusus.
Nama kunci CEF | Nama CommonSecurityLog |
---|---|
cn1 | DeviceCustomNumber1 |
cn1Label | DeviceCustomNumber1Label |
cn2 | DeviceCustomNumber2 |
cn2Label | DeviceCustomNumber2Label |
cn3 | DeviceCustomNumber3 |
cn3Label | DeviceCustomNumber3Label |
Bidang untai kustom
Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang untai yang tersedia untuk data khusus.
Nama kunci CEF | Nama CommonSecurityLog |
---|---|
cs1 | DeviceCustomString1 1 |
cs1Label | DeviceCustomString1Label 1 |
cs2 | DeviceCustomString2 1 |
cs2Label | DeviceCustomString2Label 1 |
cs3 | DeviceCustomString3 1 |
cs3Label | DeviceCustomString3Label 1 |
cs4 | DeviceCustomString4 1 |
cs4Label | DeviceCustomString4Label 1 |
cs5 | DeviceCustomString5 1 |
cs5Label | DeviceCustomString5Label 1 |
cs6 | DeviceCustomString6 1 |
cs6Label | DeviceCustomString6Label 1 |
flexString1 | FlexString1 |
flexString1Label | FlexString1Label |
flexString2 | FlexString2 |
flexString2Label | FlexString2Label |
Tip
1 Sebaiknya Anda menggunakan bidang DeviceCustomString dengan hemat dan menggunakan bidang bawaan yang lebih spesifik jika memungkinkan.
Bidang tanda waktu kustom
Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang tanda waktu yang tersedia untuk data khusus.
Nama kunci CEF | Nama CommonSecurityLog |
---|---|
deviceCustomDate1 | DeviceCustomDate1 |
deviceCustomDate1Label | DeviceCustomDate1Label |
deviceCustomDate2 | DeviceCustomDate2 |
deviceCustomDate2Label | DeviceCustomDate2Label |
flexDate1 | FlexDate1 |
flexDate1Label | FlexDate1Label |
Bidang data bilangan bulat kustom
Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang bilangan buat yang tersedia untuk data khusus.
Nama kunci CEF | Nama CommonSecurityLog |
---|---|
flexNumber1 | FlexNumber1 |
flexNumber1Label | FlexNumber1Label |
flexNumber2 | FlexNumber2 |
flexNumber2Label | FlexNumber2Label |
Bidang pengayaan
Bidang CommonSecurityLog berikut ditambahkan oleh Microsoft Sentinel untuk memperkaya peristiwa asli yang diterima dari perangkat sumber, dan tidak memiliki pemetaan dalam kunci CEF:
Bidang inteligensi ancaman
Nama bidang CommonSecurityLog | Deskripsi |
---|---|
IndicatorThreatType | Jenis ancaman MaliciousIP, menurut umpan inteligensi ancaman. |
MaliciousIP | Mencantumkan alamat IP apa pun dalam pesan yang berkorelasi dengan umpan inteligensi ancaman saat ini. |
MaliciousIPCountry | Negara /wilayah MaliciousIP , menurut informasi geografis pada saat penyerapan catatan. |
MaliciousIPLatitude | Garis bujur MaliciousIP, menurut informasi geografis pada saat penyerapan data. |
MaliciousIPLongitude | Garis bujur MaliciousIP, menurut informasi geografis pada saat penyerapan data. |
ReportReferenceLink | Tautan ke laporan inteligensi ancaman. |
ThreatConfidence | Keyakinan ancaman MaliciousIP, menurut umpan inteligensi ancaman. |
ThreatDescription | Deskripsi ancaman MaliciousIP, menurut umpan inteligensi ancaman. |
ThreatSeverity | Tingkat keparahan ancaman untuk MaliciousIP, menurut umpan inteligensi ancaman pada saat penyerapan rekaman. |
Bidang pengayaan tambahan
Nama bidang CommonSecurityLog | Deskripsi |
---|---|
OriginalLogSeverity | Selalu kosong, didukung untuk integrasi dengan CiscoASA. Untuk detail tentang nilai keparahan log, lihat bidang LogSeverity. |
RemoteIP | Alamat IP jarak jauh. Nilai ini didasarkan pada bidang CommunicationDirection, jika memungkinkan. |
Port Jarak Jauh | Port jarak jauh. Nilai ini didasarkan pada bidang CommunicationDirection, jika memungkinkan. |
SimplifiedDeviceAction | Menyederhanakan nilai DeviceAction menjadi set nilai statis, sambil mempertahankan nilai asli di bidang DeviceAction. Sebagai contoh: Denied >Deny . |
SourceSystem | Selalu didefinisikan sebagai OpsManager. |
Langkah berikutnya
Untuk informasi selengkapnya, lihat Menyambungkan solusi eksternal Anda menggunakan Common Event Format.