Cef- en CommonSecurityLog-veldtoewijzing

Artikel
11/08/2023

In de volgende tabellen worden cef-veldnamen (Common Event Format) toegewezen aan de namen die ze gebruiken in CommonSecurityLog van Microsoft Sentinel. Dit kan handig zijn wanneer u met een CEF-gegevensbron in Microsoft Sentinel werkt.

Zie Verbinding maken uw externe oplossing met Common Event Format voor meer informatie.

Belangrijk

Op 28 februari 2023 hebben we wijzigingen aangebracht in het CommonSecurityLog-tabelschema. Na deze wijziging moet u mogelijk aangepaste query's controleren en bijwerken. Zie de sectie aanbevolen acties in dit blogbericht voor meer informatie. Out-of-the-box-inhoud (detecties, opsporingsquery's, werkmappen, parsers, enzovoort) is bijgewerkt door Microsoft Sentinel.

Notitie

Een Microsoft Sentinel-werkruimte is vereist om CEF-gegevens op te nemen in Log Analytics.

A - C

CEF-sleutelnaam	CommonSecurityLog-veldnaam	Omschrijving
act	DeviceAction	De actie die in de gebeurtenis wordt vermeld.
-app	ApplicationProtocol	Het protocol dat wordt gebruikt in de toepassing, zoals HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, enzovoort.
cat	DeviceEventCategory	Vertegenwoordigt de categorie die is toegewezen door het oorspronkelijke apparaat. Apparaten gebruiken vaak hun eigen categorisatieschema om gebeurtenissen te classificeren. Bijvoorbeeld: `/Monitor/Disk/Read`.
Cnt	EventCount	Een telling die is gekoppeld aan de gebeurtenis, waarmee wordt aangegeven hoe vaak dezelfde gebeurtenis is waargenomen.

D

CEF-sleutelnaam	CommonSecurityLog-naam	Omschrijving
Apparaatleverancier	DeviceVendor	Tekenreeks die, samen met apparaatproduct- en versiedefinities, het type verzendende apparaat uniek identificeert.
Apparaatproduct	DeviceProduct	Tekenreeks die, samen met apparaatleverancier- en versiedefinities, het type verzendende apparaat uniek identificeert.
Apparaatversie	DeviceVersion	Tekenreeks die, samen met apparaatproduct- en leverancierdefinities, het type verzendende apparaat uniek identificeert.
destinationDnsDomain	DestinationDnsDomain	Het DNS-gedeelte van de FQDN (Fully Qualified Domain Name).
destinationServiceName	DestinationServiceName	De service waarop de gebeurtenis betrekking heeft. Bijvoorbeeld `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	Identificeert de vertaalde bestemming waarnaar wordt verwezen door de gebeurtenis in een IP-netwerk, als een IPv4-IP-adres.
destinationTranslatedPort	DestinationTranslatedPort	Poort, na vertaling, zoals een firewall. Geldige poortnummers: `0` - `65535`
deviceDirection	CommunicationDirection	Informatie over de richting die de waargenomen communicatie heeft genomen. Geldige waarden: - `0` = Inkomend verkeer - `1` = Uitgaand
deviceDnsDomain	DeviceDnsDomain	Het DNS-domeingedeelte van de volledige gekwalificeerde domeinnaam (FQDN)
DeviceEventClassID	DeviceEventClassID	Tekenreeks of geheel getal dat fungeert als een unieke id per gebeurtenistype.
deviceExternalId	deviceExternalId	Een naam die het apparaat dat de gebeurtenis genereert, uniek identificeert.
deviceFacility	DeviceFacility	De faciliteit die de gebeurtenis genereert.
deviceInboundInterface	DeviceInboundInterface	De interface waarop het pakket of de gegevens het apparaat hebben ingevoerd.
deviceNtDomain	DeviceNtDomain	Het Windows-domein van het apparaatadres
deviceOutboundInterface	DeviceOutboundInterface	Interface waarop het pakket of de gegevens het apparaat verlaten.
devicePayloadId	DevicePayloadId	Unieke id voor de nettolading die is gekoppeld aan de gebeurtenis.
deviceProcessName	ProcessName	Procesnaam die is gekoppeld aan de gebeurtenis. In UNIX wordt bijvoorbeeld het proces gegenereerd dat de syslog-vermelding genereert.
deviceTranslatedAddress	DeviceTranslatedAddress	Identificeert het vertaalde apparaatadres waarnaar de gebeurtenis verwijst, in een IP-netwerk. De indeling is een Ipv4-adres.
dhost	DestinationHostName	Het doel waarnaar de gebeurtenis verwijst in een IP-netwerk. De indeling moet een FQDN zijn die is gekoppeld aan het doelknooppunt wanneer een knooppunt beschikbaar is. Bijvoorbeeld `host.domain.com` of `host`.
dmac	DestinationMacAddress	Het MAC-doeladres (FQDN)
dntdom	DestinationNTDomain	De Windows-domeinnaam van het doeladres.
dpid	DestinationProcessId	De id van het doelproces dat is gekoppeld aan de gebeurtenis.
dpriv	DestinationUserPrivileges	Definieert de bevoegdheden van het doelgebruik. Geldige waarden: `Admninistrator`, `UserGuest`
dproc	DestinationProcessName	De naam van het doelproces van de gebeurtenis, zoals `telnetd` of `sshd.`
dpt	DestinationPort	Doelpoort. Geldige waarden: `*0` - `65535`
Dst	DestinationIP	Het ipV4-doeladres waarnaar de gebeurtenis verwijst in een IP-netwerk.
dtz	DeviceTimeZone	Tijdzone van het apparaat dat de gebeurtenis genereert
duid	DestinationUserId	Identificeert de doelgebruiker op id.
duser	DestinationUserName	Identificeert de doelgebruiker op naam.
dvc	DeviceAddress	Het IPv4-adres van het apparaat dat de gebeurtenis genereert.
dvchost	Apparaatnaam	De FQDN die is gekoppeld aan het apparaatknooppunt, wanneer er een knooppunt beschikbaar is. Bijvoorbeeld `host.domain.com` of `host`.
dvcmac	DeviceMacAddress	Het MAC-adres van het apparaat dat de gebeurtenis genereert.
dvcpid	Process ID	Hiermee definieert u de id van het proces op het apparaat dat de gebeurtenis genereert.

E - I

CEF-sleutelnaam	CommonSecurityLog-naam	Omschrijving
externalId	ExternalID	Een id die wordt gebruikt door het oorspronkelijke apparaat. Deze waarden hebben meestal toenemende waarden die elk zijn gekoppeld aan een gebeurtenis.
fileCreateTime	FileCreateTime	Tijdstip waarop het bestand is gemaakt.
fileHash	FileHash	Hash van een bestand.
fileId	FileID	Een id die is gekoppeld aan een bestand, zoals de inode.
fileModificationTime	FileModificationTime	Tijdstip waarop het bestand voor het laatst is gewijzigd.
Filepath	Filepath	Volledig pad naar het bestand, inclusief de bestandsnaam. Bijvoorbeeld: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` of `/usr/bin/zip`.
filePermission	FilePermission	De machtigingen van het bestand.
Bestandstype	Bestandstype	Bestandstype, zoals pijp, socket, enzovoort.
fname	FileName	De naam van het bestand, zonder het pad.
fsize	FileSize	De grootte van het bestand.
Host	Computer	Host, vanuit Syslog
in	ReceivedBytes	Aantal overgedragen bytes inkomende bytes.

M - P

CEF-sleutelnaam	CommonSecurityLog-naam	Omschrijving
msg	Bericht	Een bericht met meer informatie over de gebeurtenis.
Naam	Activiteit	Een tekenreeks die een door mensen leesbare en begrijpelijke beschrijving van de gebeurtenis vertegenwoordigt.
oldFileCreateTime	OldFileCreateTime	Tijdstip waarop het oude bestand is gemaakt.
oldFileHash	OldFileHash	Hash van het oude bestand.
oldFileId	OldFileId	En id die is gekoppeld aan het oude bestand, zoals de inode.
oldFileModificationTime	OldFileModificationTime	Tijdstip waarop het oude bestand voor het laatst is gewijzigd.
oldFileName	OldFileName	Naam van het oude bestand.
oldFilePath	OldFilePath	Volledig pad naar het oude bestand, inclusief de bestandsnaam. Bijvoorbeeld `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` of `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Machtigingen van het oude bestand.
oldFileSize	OldFileSize	Grootte van het oude bestand.
oldFileType	OldFileType	Bestandstype van het oude bestand, zoals een pijp, socket, enzovoort.
uit	SentBytes	Het aantal overgedragen bytes uitgaand.
resultaat	EventOutcome	Resultaat van de gebeurtenis, zoals `success` of `failure`.
Proto	Protocol	Transportprotocol waarmee het gebruikte Layer-4-protocol wordt geïdentificeerd. Mogelijke waarden zijn protocolnamen, zoals `TCP` of `UDP`.

R - T

CEF-sleutelnaam	CommonSecurityLog-naam	Omschrijving
reason	Reden	De reden waarom een controlegebeurtenis is gegenereerd. Bijvoorbeeld `badd password` of `unknown user`. Dit kan ook een fout of retourcode zijn. Bijvoorbeeld: `0x1234`.
Aanvragen	RequestURL	De URL die wordt geopend voor een HTTP-aanvraag, inclusief het protocol. Bijvoorbeeld: `http://www/secure.com`
requestClientApplication	RequestClientApplication	De gebruikersagent die is gekoppeld aan de aanvraag.
requestContext	RequestContext	Beschrijft de inhoud van waaruit de aanvraag afkomstig is, zoals de HTTP-referrer.
requestCookies	RequestCookies	Cookies die aan de aanvraag zijn gekoppeld.
requestMethod	RequestMethod	De methode die wordt gebruikt voor toegang tot een URL. Geldige waarden bevatten methoden zoals `POST`, `GET`enzovoort.
Rt	ReceiptTime	Het tijdstip waarop de gebeurtenis met betrekking tot de activiteit is ontvangen.
Ernst	LogSeverity	Een tekenreeks of geheel getal dat het belang van de gebeurtenis beschrijft. Geldige tekenreekswaarden: `Unknown` , `Low`, `Medium`, `HighVery-High` Geldige gehele getallen zijn: - `0`-`3` = Laag - `4`-`6` = gemiddeld - `7`-`8` = Hoog - `9`-`10` = Zeer hoog
shost	SourceHostName	Identificeert de bron waarnaar de gebeurtenis verwijst in een IP-netwerk. De indeling moet een fully qualified domain name (DQDN) zijn die is gekoppeld aan het bronknooppunt wanneer een knooppunt beschikbaar is. Bijvoorbeeld `host` of `host.domain.com`.
smac	SourceMacAddress	Mac-bronadres.
sntdom	SourceNTDomain	De Windows-domeinnaam voor het bronadres.
sourceDnsDomain	SourceDnsDomain	Het DNS-domeingedeelte van de volledige FQDN.
sourceServiceName	SourceServiceName	De service die verantwoordelijk is voor het genereren van de gebeurtenis.
sourceTranslatedAddress	SourceTranslatedAddress	Identificeert de vertaalde bron waarnaar de gebeurtenis verwijst in een IP-netwerk.
sourceTranslatedPort	SourceTranslatedPort	Bronpoort na vertaling, zoals een firewall. Geldige poortnummers zijn `0` - `65535`.
Spid	SourceProcessId	De id van het bronproces dat is gekoppeld aan de gebeurtenis.
spriv	SourceUserPrivileges	De bevoegdheden van de brongebruiker. Geldige waarden zijn: `Administrator`, `UserGuest`
sproc	SourceProcessName	De naam van het bronproces van de gebeurtenis.
Spt	SourcePort	Het bronpoortnummer. Geldige poortnummers zijn `0` - `65535`.
src	SourceIP	De bron waarnaar een gebeurtenis verwijst in een IP-netwerk, als een IPv4-adres.
Suid	SourceUserID	Identificeert de brongebruiker op id.
suser	SourceUserName	Identificeert de brongebruiker op naam.
type	EventType	Gebeurtenistype. Waardewaarden zijn onder andere: - `0`: basisgebeurtenis - `1`:Geaggregeerde - `2`: correlatie-gebeurtenis - `3`: actie-gebeurtenis Opmerking: deze gebeurtenis kan worden weggelaten voor basisgebeurtenissen.

Aangepaste velden

In de volgende tabellen worden de namen van CEF-sleutels en CommonSecurityLog-velden toegewezen die klanten kunnen gebruiken voor gegevens die niet van toepassing zijn op een van de ingebouwde velden.

Aangepaste IPv6-adresvelden

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de IPv6-adresvelden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam	CommonSecurityLog-naam
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
gemeenschappelijk 1	DeviceCustomFloatingPoint1
vb1Label	deviceCustomFloatingPoint1Label
gvb2	DeviceCustomFloatingPoint2
vb2Label	deviceCustomFloatingPoint2Label
gvb3	DeviceCustomFloatingPoint3
vb3Label	deviceCustomFloatingPoint3Label
gvb4	DeviceCustomFloatingPoint4
vb4Label	deviceCustomFloatingPoint4Label

Aangepaste getalvelden

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de numerieke velden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam	CommonSecurityLog-naam
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Aangepaste tekenreeksvelden

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de tekenreeksvelden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam	CommonSecurityLog-naam
cs1	DeviceCustomString1 1
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
Cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Fooi

¹ Het is raadzaam om de velden DeviceCustomString spaarzaam te gebruiken en zo mogelijk specifiekere, ingebouwde velden te gebruiken.

Aangepaste tijdstempelvelden

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de tijdstempelvelden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam	CommonSecurityLog-naam
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Aangepaste gegevensvelden voor gehele getallen

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de gehele velden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam	CommonSecurityLog-naam
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Verrijkingsvelden

De volgende CommonSecurityLog-velden worden door Microsoft Sentinel toegevoegd om de oorspronkelijke gebeurtenissen te verrijken die zijn ontvangen van de bronapparaten en hebben geen toewijzingen in CEF-sleutels:

Velden voor bedreigingsinformatie

CommonSecurityLog-veldnaam	Omschrijving
IndicatorThreatType	Het bedreigingstype MaliciousIP , volgens de feed bedreigingsinformatie.
SchadelijkeIP	Een lijst met IP-adressen in het bericht die correleren met de huidige feed voor bedreigingsinformatie.
MaliciousIPCountry	Het land/de regio MaliciousIP , volgens de geografische gegevens op het moment van de opname van de record.
SchadelijkeIPL-dankbaarheid	De lengtegraad MaliciousIP , op basis van de geografische gegevens op het moment van de opname van de record.
MaliciousIPLongitude	De lengtegraad MaliciousIP , op basis van de geografische gegevens op het moment van de opname van de record.
ReportReferenceLink	Koppeling naar het bedreigingsinformatierapport.
ThreatConfidence	Het betrouwbaarheidsvertrouwen van schadelijkeIP-bedreigingen , volgens de feed bedreigingsinformatie.
ThreatDescription	De beschrijving van de SchadelijkeIP-bedreiging , volgens de feed bedreigingsinformatie.
Bedreigingsrelaties	De ernst van de bedreiging voor de MaliciousIP, volgens de bedreigingsinformatiefeed op het moment van de opname van de record.

Aanvullende verrijkingsvelden

CommonSecurityLog-veldnaam	Omschrijving
OriginalLogSeverity	Altijd leeg, ondersteund voor integratie met CiscoASA. Zie het veld LogSeverity voor meer informatie over de ernstwaarden van logboeken.
RemoteIP	Het externe IP-adres. Deze waarde is gebaseerd op het veld CommunicationDirection , indien mogelijk.
RemotePort	De externe poort. Deze waarde is gebaseerd op het veld CommunicationDirection , indien mogelijk.
SimplifiedDeviceAction	Vereenvoudigt de DeviceAction-waarde naar een statische set waarden, terwijl de oorspronkelijke waarde in het veld DeviceAction behouden blijft. Bijvoorbeeld: `Denied`>`Deny`.
SourceSystem	Altijd gedefinieerd als OpsManager.

Volgende stappen