Pemetaan bidang CEF dan CommonSecurityLog

Artikel
06/01/2023

Tabel berikut memetakan nama bidang Common Event Format (CEF) ke nama yang mereka gunakan di CommonSecurityLog Microsoft Sentinel, dan mungkin membantu saat Anda bekerja dengan sumber data CEF di Microsoft Sentinel.

Untuk informasi selengkapnya, lihat Menyambungkan solusi eksternal Anda menggunakan Common Event Format.

Penting

Pada 28 Februari 2023, kami memperkenalkan perubahan pada skema tabel CommonSecurityLog. Setelah perubahan ini, Anda mungkin perlu meninjau dan memperbarui kueri kustom. Untuk detail selengkapnya, lihat bagian tindakan yang direkomendasikan di posting blog ini. Konten siap pakai (deteksi, kueri berburu, buku kerja, pengurai, dll.) telah diperbarui oleh Microsoft Azure Sentinel.

Catatan

Ruang kerja Microsoft Sentinel diperlukan untuk menyerap data CEF ke Log Analytics.

A - C

Nama kunci CEF	Nama bidang CommonSecurityLog	Deskripsi
act	DeviceAction	Tindakan tersebut disebutkan dalam peristiwa.
aplikasi	ApplicationProtocol	Protokol yang digunakan dalam aplikasi, seperti HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, dan sebagainya.
cat	DeviceEventCategory	Mewakili kategori yang ditetapkan oleh perangkat asal. Perangkat sering menggunakan skema kategorisasi mereka sendiri untuk mengklasifikasikan peristiwa. Sebagai contoh: `/Monitor/Disk/Read`.
cnt	EventCount	Hitungan yang terkait dengan peristiwa, menunjukkan berapa kali peristiwa yang sama diamati.

D

Nama kunci CEF	Nama CommonSecurityLog	Deskripsi
Vendor Perangkat	DeviceVendor	Untai bersama dengan definisi produk dan versi perangkat, secara unik mengidentifikasi jenis perangkat pengirim.
Produk Perangkat	DeviceProduct	Untai bersama dengan definisi vendor dan versi perangkat, secara unik mengidentifikasi jenis perangkat pengirim.
Versi Perangkat	DeviceVersion	Untai bersama dengan definisi produk dan vendor perangkat, secara unik mengidentifikasi jenis perangkat pengirim.
destinationDnsDomain	DestinationDnsDomain	Bagian DNS dari nama domain yang sepenuhnya memenuhi syarat (FQDN).
destinationServiceName	DestinationServiceName	Layanan yang ditargetkan oleh peristiwa tersebut. Contohnya, `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	Mengidentifikasi tujuan terjemahan yang dirujuk oleh peristiwa dalam jaringan IP, sebagai alamat IP IPv4.
destinationTranslatedPort	DestinationTranslatedPort	Port, setelah terjemahan, seperti firewall. Nomor port yang valid: `0` - `65535`
deviceDirection	CommunicationDirection	Setiap informasi tentang arah komunikasi yang diamati telah diambil. Nilai yang valid: - `0` = Masuk - `1` = Keluar
deviceDnsDomain	DeviceDnsDomain	Bagian domain DNS dari nama domain yang memenuhi syarat penuh (FQDN)
DeviceEventClassID	DeviceEventClassID	Untai atau integer yang berfungsi sebagai pengidentifikasi unik per jenis peristiwa.
deviceExternalId	deviceExternalId	Nama yang secara unik mengidentifikasi perangkat yang menghasilkan peristiwa.
deviceFacility	DeviceFacility	Fasilitas yang menghasilkan peristiwa.
deviceInboundInterface	DeviceInboundInterface	Antarmuka tempat paket atau data memasuki perangkat.
deviceNtDomain	DeviceNtDomain	Domain Windows dari alamat perangkat
deviceOutboundInterface	DeviceOutboundInterface	Antarmuka tempat paket atau data meninggalkan perangkat.
devicePayloadId	DevicePayloadId	Pengidentifikasi unik untuk payload yang terkait dengan peristiwa.
deviceProcessName	ProcessName	Nama proses yang terkait dengan peristiwa. Misalnya, di UNIX, proses menghasilkan entri syslog.
deviceTranslatedAddress	DeviceTranslatedAddress	Mengidentifikasi alamat perangkat yang diterjemahkan yang merujuk peristiwa tersebut, dalam jaringan IP. Formatnya adalah alamat Ipv4.
dhost	DestinationHostName	Tujuan acara mengacu pada jaringan IP. Formatnya harus berupa FQDN yang terkait dengan simpul tujuan, saat simpul tersedia. Misalnya, `host.domain.com` atau `host`.
dmac	DestinationMacAddress	Alamat MAC tujuan (FQDN)
dntdom	DestinationNTDomain	Nama domain Windows dari alamat tujuan.
dpid	DestinationProcessId	ID proses tujuan yang terkait dengan peristiwa.
dpriv	DestinationUserPrivileges	Menentukan hak istimewa penggunaan tujuan. Nilai yang valid: `Admninistrator`, `User`, `Guest`
dproc	DestinationProcessName	Nama proses tujuan acara, seperti `telnetd` atau `sshd.`
dpt	DestinationPort	Port tujuan Nilai yang valid: `*0` - `65535`
dst	DestinationIP	Alamat IpV4 tujuan yang dirujuk oleh peristiwa dalam jaringan IP.
dtz	DeviceTimeZone	Zona waktu perangkat menghasilkan peristiwa
duid	DestinationUserId	Mengidentifikasi pengguna tujuan dengan ID.
duser	DestinationUserName	Mengidentifikasi pengguna tujuan dengan nama.
dvc	DeviceAddress	Alamat IPv4 perangkat yang menghasilkan peristiwa.
dvchost	DeviceName	FQDN yang terkait dengan simpul perangkat, ketika simpul tersedia. Misalnya, `host.domain.com` atau `host`.
dvcmac	DeviceMacAddress	Alamat MAC perangkat yang menghasilkan peristiwa.
dvcpid	ID Proses	Menentukan ID proses pada perangkat yang menghasilkan peristiwa.

E - I

Nama kunci CEF	Nama CommonSecurityLog	Deskripsi
externalId	externalId	ID yang digunakan oleh perangkat asal. Biasanya, nilai-nilai ini memiliki nilai yang meningkat yang masing-masing terkait dengan suatu peristiwa.
fileCreateTime	FileCreateTime	Waktu ketika file dibuat.
fileHash	FileHash	Hash dari file.
fileId	FileID	ID yang terkait dengan file, seperti inode.
fileModificationTime	FileModificationTime	Waktu saat file terakhir diubah.
filePath	FilePath	Jalur lengkap ke file, termasuk nama file. Sebagai contoh: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` atau `/usr/bin/zip`.
filePermission	FilePermission	Izin file.
fileType	FileType	Jenis file, seperti alur, soket, dan sebagainya.
fnama	FileName	Nama file, tanpa jalur.
fsize	FileSize	Ukuran file.
Host	Komputer	Host, dari Syslog
in	ReceivedBytes	Jumlah byte yang ditransfer masuk.

M - P

Nama kunci CEF	Nama CommonSecurityLog	Deskripsi
msg	Pesan	Pesan yang memberikan detail lebih lanjut tentang peristiwa tersebut.
Nama	Aktivitas	Untai yang mewakili deskripsi peristiwa yang dapat dibaca dan dipahami manusia.
oldFileCreateTime	OldFileCreateTime	Waktu ketika file lama dibuat.
oldFileHash	OldFileHash	Hash dari file lama.
oldFileId	OldFileId	Dan ID yang terkait dengan file lama, seperti inode.
oldFileModificationTime	OldFileModificationTime	Waktu saat file lama terakhir diubah.
oldFileName	OldFileName	Nama dari file lama.
oldFilePath	OldFilePath	Jalur lengkap ke file lama, termasuk nama file. Misalnya, `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` atau `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Izin dari file lama.
oldFileSize	OldFileSize	Ukuran file lama.
oldFileType	OldFileType	Jenis file lama, seperti alur, soket, dan sebagainya.
out	SentBytes	Jumlah byte yang keluar ditransfer masuk.
Hasil	EventOutcome	Hasil peristiwa, seperti `success` atau `failure`.
proto	Protokol	Protokol transportasi yang mengidentifikasi protokol Lapisan-4 yang digunakan. Nilai yang memungkinkan mencakup nama protokol, seperti `TCP` atau `UDP`.

R - T

Nama kunci CEF	Nama CommonSecurityLog	Deskripsi
reason	Alasan	Alasan peristiwa audit dihasilkan. Misalnya `badd password` atau `unknown user`. Ini juga bisa berupa kesalahan atau mengembalikan kode. Sebagai contoh: `0x1234`.
Permintaan	RequestURL	URL yang diakses untuk permintaan HTTP, termasuk protokol. Misalnya: `http://www/secure.com`
requestClientApplication	RequestClientApplication	Agen pengguna yang terkait dengan permintaan.
requestContext	RequestContext	Menjelaskan konten asal permintaan, seperti referen HTTP.
requestCookies	RequestCookies	Cookie yang terkait dengan permintaan.
requestMethod	RequestMethod	Metode yang digunakan untuk mengakses URL. Nilai yang valid mencakup metode seperti `POST`, `GET`, dan seterusnya.
rt	ReceiptTime	Waktu di mana peristiwa yang berkaitan dengan aktivitas diterima.
Tingkat keparahan	LogSeverity	Untai atau bilangan bulat yang menjelaskan tingkat kepentingan acara. Nilai untai valid: `Unknown` , `Low`, `Medium`, `High`, `Very-High` Nilai bilangan bulat yang valid adalah: - `0`-`3` = Rendah - `4`-`6` = Sedang - `7`-`8` = Tinggi - `9`-`10` = Sangat Tinggi
shost	SourceHostName	Mengidentifikasi sumber yang merujuk peristiwa dalam jaringan IP. Format harus berupa nama domain yang sepenuhnya memenuhi syarat (DQDN) yang terkait dengan simpul sumber, saat simpul tersedia. Misalnya, `host` atau `host.domain.com`.
smac	SourceMacAddress	Alamat MAC Sumber
sntdom	SourceNTDomain	Nama domain Windows untuk alamat sumber.
sourceDnsDomain	SourceDnsDomain	Bagian domain DNS dari FQDN lengkap.
sourceServiceName	SourceServiceName	Layanan yang bertanggung jawab untuk menghasilkan peristiwa.
sourceTranslatedAddress	SourceTranslatedAddress	Mengidentifikasi sumber yang diterjemahkan yang merujuk peristiwa tersebut, dalam jaringan IP.
sourceTranslatedPort	SourceTranslatedPort	Port sumber setelah terjemahan, seperti firewall. Nomor port yang valid adalah `0` - `65535`
spid	SourceProcessId	ID proses sumber yang terkait dengan peristiwa.
spriv	SourceUserPrivileges	Hak istimewa pengguna sumber. Nilai yang valid meliputi: `Administrator`, `User`, `Guest`
sproc	SourceProcessName	Nama proses sumber peristiwa.
spt	SourcePort	Nomor port sumber. Nomor port yang valid adalah `0` - `65535`
src	SourceIP	Sumber yang dirujuk oleh suatu peristiwa dalam jaringan IP, sebagai alamat IPv4.
suid	SourceUserID	Mengidentifikasi pengguna sumber berdasarkan ID.
suser	SourceUserName	Mengidentifikasi pengguna sumber berdasarkan nama.
jenis	EventType	Jenis peristiwa. Nilai nilai meliputi: - `0`: peristiwa dasar - `1`:Agregat - `2`: peristiwa korelasi - `3`: peristiwa tindakan Catatan: Peristiwa ini dapat dihilangkan untuk peristiwa dasar.

Bidang isian kustom

Tabel berikut memetakan nama kunci CEF dan bidang CommonSecurityLog yang tersedia bagi pelanggan untuk digunakan untuk data yang tidak berlaku untuk bidang bawaan mana pun.

Bidang alamat IPv6 kustom

Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang alamat IPv6 yang tersedia untuk data khusus.

Nama kunci CEF	Nama CommonSecurityLog
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Bidang nomor khusus

Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang nomor yang tersedia untuk data khusus.

Nama kunci CEF	Nama CommonSecurityLog
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Bidang untai kustom

Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang untai yang tersedia untuk data khusus.

Nama kunci CEF	Nama CommonSecurityLog
cs1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Tip

¹ Sebaiknya Anda menggunakan bidang DeviceCustomString dengan hemat dan menggunakan bidang bawaan yang lebih spesifik jika memungkinkan.

Bidang tanda waktu kustom

Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang tanda waktu yang tersedia untuk data khusus.

Nama kunci CEF	Nama CommonSecurityLog
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Bidang data bilangan bulat kustom

Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang bilangan buat yang tersedia untuk data khusus.

Nama kunci CEF	Nama CommonSecurityLog
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Bidang pengayaan

Bidang CommonSecurityLog berikut ditambahkan oleh Microsoft Sentinel untuk memperkaya peristiwa asli yang diterima dari perangkat sumber, dan tidak memiliki pemetaan dalam kunci CEF:

Bidang inteligensi ancaman

Nama bidang CommonSecurityLog	Deskripsi
IndicatorThreatType	Jenis ancaman MaliciousIP, menurut umpan inteligensi ancaman.
MaliciousIP	Mencantumkan alamat IP apa pun dalam pesan yang berkorelasi dengan umpan inteligensi ancaman saat ini.
MaliciousIPCountry	Negara /wilayah MaliciousIP , menurut informasi geografis pada saat penyerapan catatan.
MaliciousIPLatitude	Garis bujur MaliciousIP, menurut informasi geografis pada saat penyerapan data.
MaliciousIPLongitude	Garis bujur MaliciousIP, menurut informasi geografis pada saat penyerapan data.
ReportReferenceLink	Tautan ke laporan inteligensi ancaman.
ThreatConfidence	Keyakinan ancaman MaliciousIP, menurut umpan inteligensi ancaman.
ThreatDescription	Deskripsi ancaman MaliciousIP, menurut umpan inteligensi ancaman.
ThreatSeverity	Tingkat keparahan ancaman untuk MaliciousIP, menurut umpan inteligensi ancaman pada saat penyerapan rekaman.

Bidang pengayaan tambahan

Nama bidang CommonSecurityLog	Deskripsi
OriginalLogSeverity	Selalu kosong, didukung untuk integrasi dengan CiscoASA. Untuk detail tentang nilai keparahan log, lihat bidang LogSeverity.
RemoteIP	Alamat IP jarak jauh. Nilai ini didasarkan pada bidang CommunicationDirection, jika memungkinkan.
Port Jarak Jauh	Port jarak jauh. Nilai ini didasarkan pada bidang CommunicationDirection, jika memungkinkan.
SimplifiedDeviceAction	Menyederhanakan nilai DeviceAction menjadi set nilai statis, sambil mempertahankan nilai asli di bidang DeviceAction. Sebagai contoh: `Denied`>`Deny`.
SourceSystem	Selalu didefinisikan sebagai OpsManager.

Langkah berikutnya