CEF- en CommonSecurityLog-veldtoewijzing

Artikel
11/18/2021
8 minuten om te lezen

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

In de volgende tabellen Common Event Format (CEF) veldnamen toe aan de namen die ze gebruiken in CommonSecurityLog van Microsoft Sentinel. Dit kan handig zijn wanneer u werkt met een CEF-gegevensbron in Microsoft Sentinel.

Zie Uw externe Verbinding maken gebruiken met behulp van Common Event Format voor meer Common Event Format.

Notitie

Een Microsoft Sentinel-werkruimte is vereist om CEF-gegevens op te nemen in Log Analytics.

A - C

Naam van CEF-sleutel	CommonSecurityLog-veldnaam	Description
Handelen	DeviceAction	De actie die wordt vermeld in de gebeurtenis.
app	ApplicationProtocol	Het protocol dat wordt gebruikt in de toepassing, zoals HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, en meer.
Cnt	EventCount	Een telling die is gekoppeld aan de gebeurtenis, waarin wordt weergegeven hoe vaak dezelfde gebeurtenis is waargenomen.

D

Naam van CEF-sleutel	CommonSecurityLog-naam	Description
Apparaatleverancier	DeviceVendor	Tekenreeks die samen met apparaatproduct- en versiedefinities het type verzendende apparaat uniek identificeert.
Apparaatproduct	DeviceProduct	Tekenreeks die samen met de apparaatleverancier en versiedefinities het type verzendende apparaat uniek identificeert.
Apparaatversie	DeviceVersion	Tekenreeks die samen met de definities van het apparaatproduct en de leverancier het type verzendende apparaat uniek identificeert.
destinationDnsDomain	DestinationDnsDomain	Het DNS-gedeelte van de FQDN (Fully Qualified Domain Name).
destinationServiceName	DestinationServiceName	De service die het doel is van de gebeurtenis. Bijvoorbeeld `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	Identificeert de vertaalde bestemming die wordt verwezen door de gebeurtenis in een IP-netwerk, als een IPv4-IP-adres.
destinationTranslatedPort	DestinationTranslatedPort	Poort, na vertaling, zoals een firewall. Geldige poortnummers: `0` - `65535`
deviceDirection	CommunicationDirection	Alle informatie over de richting van de waargenomen communicatie. Geldige waarden: - `0` = Inkomende - `1` = Uitgaand
deviceDnsDomain	DeviceDnsDomain	Het DNS-domeingedeelte van de FQDN (Full Qualified Domain Name)
DeviceEventClassID	DeviceEventClassID	Tekenreeks of geheel getal dat als een unieke id per gebeurtenistype fungeert.
deviceExternalID	DeviceExternalID	Een naam die het apparaat identificeert dat de gebeurtenis genereert.
deviceFacility	DeviceFacility	De faciliteit die de gebeurtenis genereert.
deviceInboundInterface	DeviceInboundInterface	De interface waarop het pakket of de gegevens het apparaat zijn binnengegaan.
deviceNtDomain	DeviceNtDomain	Het Windows domein van het apparaatadres
deviceOutboundInterface	DeviceOutboundInterface	Interface waarop het pakket of de gegevens het apparaat hebben verlaten.
devicePayloadId	DevicePayloadId	De unieke id voor de nettolading die aan de gebeurtenis is gekoppeld.
deviceProcessName	ProcessName	Procesnaam die is gekoppeld aan de gebeurtenis. In het voorbeeld UNIX het proces dat de syslog-vermelding genereert.
deviceTranslatedAddress	DeviceTranslatedAddress	Identificeert het vertaalde apparaatadres waar de gebeurtenis naar verwijst, in een IP-netwerk. De indeling is een Ipv4-adres.
dhost	DestinationHostName	Het doel waar de gebeurtenis naar verwijst in een IP-netwerk. De indeling moet een FQDN zijn die is gekoppeld aan het doel-knooppunt, wanneer een knooppunt beschikbaar is. Bijvoorbeeld `host.domain.com` of `host`.
dmac	DestinationMacAddress	Het MAC-doeladres (FQDN)
dntdom	DestinationNTDomain	De Windows domeinnaam van het doeladres.
dpid	DestinationProcessId	De id van het doelproces dat is gekoppeld aan de gebeurtenis.
dpriv	DestinationUserPrivileges	Hiermee definieert u de bevoegdheden van het doelgebruik. Geldige waarden: `Admninistrator` , `User` , `Guest`
dproc	DestinationProcessName	De naam van het doelproces van de gebeurtenis, zoals `telnetd` of `sshd.`
dpt	DestinationPort	Doelpoort. Geldige waarden: `*0` - `65535`
Dst	DestinationIP	Het doel-IpV4-adres waar de gebeurtenis naar verwijst in een IP-netwerk.
dtz	DeviceTimeZone	Tijdzone van het apparaat dat de gebeurtenis genereert
duid	DestinationUserId	Identificeert de doelgebruiker op id.
duser	DestinationUserName	Identificeert de doelgebruiker op naam.
dvc	DeviceAddress	Het IPv4-adres van het apparaat dat de gebeurtenis genereert.
dvchost	DeviceName	De FQDN die is gekoppeld aan het apparaat-knooppunt, wanneer een knooppunt beschikbaar is. Bijvoorbeeld `host.domain.com` of `host`.
dvcmac	DeviceMacAddress	Het MAC-adres van het apparaat dat de gebeurtenis genereert.
dvcpid	Proces-id	Hiermee definieert u de id van het proces op het apparaat dat de gebeurtenis genereert.

E - I

Naam van CEF-sleutel	CommonSecurityLog-naam	Description
externalId	ExternalID	Een id die wordt gebruikt door het oorspronkelijke apparaat. Deze waarden hebben doorgaans toenemende waarden die elk aan een gebeurtenis zijn gekoppeld.
fileCreateTime	FileCreateTime	Het tijdstip waarop het bestand is gemaakt.
fileHash	FileHash	Hash van een bestand.
fileId	FileID	Een id die is gekoppeld aan een bestand, zoals de inode.
fileModificationTime	FileModificationTime	Het tijdstip waarop het bestand voor het laatst is gewijzigd.
Filepath	Filepath	Volledig pad naar het bestand, inclusief de bestandsnaam. Bijvoorbeeld: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` of `/usr/bin/zip` .
filePermission	FilePermission	De machtigingen van het bestand.
Bestandstype	Bestandstype	Bestandstype, zoals pipe, socket, en meer.
fname	Bestandsnaam	De naam van het bestand, zonder het pad.
fsize	Bestandsgrootte	De grootte van het bestand.
Host	Computer	Host, van Syslog
in	ReceivedBytes	Het aantal bytes dat binnenkomende tijd wordt overgedragen.

M - P

Naam van CEF-sleutel	CommonSecurityLog-naam	Description
msg	Bericht	Een bericht met meer informatie over de gebeurtenis.
Name	Activiteit	Een tekenreeks die een voor mensen leesbare en begrijpelijke beschrijving van de gebeurtenis vertegenwoordigt.
oldFileCreateTime	OldFileCreateTime	Het tijdstip waarop het oude bestand is gemaakt.
oldFileHash	OldFileHash	Hash van het oude bestand.
oldFileId	OldFileId	En de id die is gekoppeld aan het oude bestand, zoals de inode.
oldFileModificationTime	OldFileModificationTime	Het tijdstip waarop het oude bestand voor het laatst is gewijzigd.
oldFileName	OldFileName	Naam van het oude bestand.
oldFilePath	OldFilePath	Volledig pad naar het oude bestand, inclusief de bestandsnaam. Bijvoorbeeld `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` of `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Machtigingen van het oude bestand.
oldFileSize	OldFileSize	Grootte van het oude bestand.
oldFileType	OldFileType	Bestandstype van het oude bestand, zoals een pipe, socket, en meer.
uit	SentBytes	Het aantal bytes dat uitgaand is overgedragen.
Resultaat	Resultaat	Resultaat van de gebeurtenis, zoals `success` of `failure` .
proto	Protocol	Transportprotocol dat het gebruikte Layer-4-protocol identificeert. Mogelijke waarden zijn protocolnamen, zoals `TCP` of `UDP` .

R - T

Naam van CEF-sleutel	CommonSecurityLog-naam	Description
Aanvraag	RequestURL	De URL die wordt gebruikt voor een HTTP-aanvraag, inclusief het protocol. Bijvoorbeeld: `http://www/secure.com`
requestClientApplication	RequestClientApplication	De gebruikersagent die is gekoppeld aan de aanvraag.
requestContext	RequestContext	Beschrijft de inhoud van waaruit de aanvraag afkomstig is, zoals de HTTP-verwijzing.
requestCookies	RequestCookies	Cookies die zijn gekoppeld aan de aanvraag.
requestMethod	RequestMethod	De methode die wordt gebruikt voor toegang tot een URL. Geldige waarden omvatten methoden zoals `POST` `GET` , , en .
Rt	ReceiptTime	Het tijdstip waarop de gebeurtenis met betrekking tot de activiteit is ontvangen.
Ernst	LogSeverity	Een tekenreeks of geheel getal dat het belang van de gebeurtenis beschrijft. Geldige tekenreekswaarden: `Unknown` , `Low` , , `Medium` `High` , `Very-High` Geldige waarden voor gehele getallen zijn: - `0`-`3` = Laag - `4`-`6` = Gemiddeld - `7`-`8` = Hoog - `9`-`10` = Very-High
shost	SourceHostName	Identificeert de bron waar de gebeurtenis naar verwijst in een IP-netwerk. De indeling moet een volledig gekwalificeerde domeinnaam (DQDN) zijn die is gekoppeld aan het bron-knooppunt, wanneer een knooppunt beschikbaar is. Bijvoorbeeld `host` of `host.domain.com`.
smac	SourceMacAddress	MAC-bronadres.
sntdom	SourceNTDomain	De Windows domeinnaam voor het bronadres.
sourceDnsDomain	SourceDnsDomain	Het DNS-domeingedeelte van de volledige FQDN.
sourceServiceName	SourceServiceName	De service die verantwoordelijk is voor het genereren van de gebeurtenis.
sourceTranslatedAddress	SourceTranslatedAddress	Identificeert de vertaalde bron waar de gebeurtenis naar verwijst in een IP-netwerk.
sourceTranslatedPort	SourceTranslatedPort	Bronpoort na vertaling, zoals een firewall. Geldige poortnummers zijn `0` - `65535` .
Spid	SourceProcessId	De id van het bronproces dat is gekoppeld aan de gebeurtenis.
spriv	SourceUserPrivileges	De bevoegdheden van de brongebruiker. Geldige waarden zijn onder andere: `Administrator` `User` , , `Guest`
sproc	SourceProcessName	De naam van het bronproces van de gebeurtenis.
Spt	SourcePort	Het bronpoortnummer. Geldige poortnummers zijn `0` - `65535` .
src	Bron-IP	De bron waar een gebeurtenis naar verwijst in een IP-netwerk, als een IPv4-adres.
Suid	SourceUserID	Identificeert de brongebruiker op id.
suser	SourceUserName	Identificeert de brongebruiker op naam.
type	EventType	Gebeurtenistype. Waardewaarden zijn onder andere: - `0`: basisgebeurtenis - `1`: geaggregeerd - `2`: correlatiegebeurtenis - `3`: actiegebeurtenis Opmerking: deze gebeurtenis kan worden weggelaten voor basisgebeurtenissen.

Aangepaste velden

In de volgende tabellen worden de namen van CEF-sleutels en CommonSecurityLog-velden weergegeven die klanten kunnen gebruiken voor gegevens die niet van toepassing zijn op een van de ingebouwde velden.

Aangepaste IPv6-adresvelden

In de volgende tabel worden de CEF-sleutel- en CommonSecurityLog-namen voor de IPv6-adresvelden die beschikbaar zijn voor aangepaste gegevens, weergegeven.

Naam van CEF-sleutel	CommonSecurityLog-naam
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Velden voor aangepaste nummering

In de volgende tabel worden de cef-sleutel- en CommonSecurityLog-namen voor de cijfervelden die beschikbaar zijn voor aangepaste gegevens, weergegeven.

Naam van CEF-sleutel	CommonSecurityLog-naam
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Aangepaste tekenreeksvelden

In de volgende tabel worden de cef-sleutel- en CommonSecurityLog-namen voor de tekenreeksvelden die beschikbaar zijn voor aangepaste gegevens, weergegeven.

Naam van CEF-sleutel	CommonSecurityLog-naam
cs1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
Cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Tip

¹ We raden u aan de velden DeviceCustomString spaarzaam te gebruiken en waar mogelijk specifiekere, ingebouwde velden te gebruiken.

Aangepaste tijdstempelvelden

In de volgende tabel worden de cef-sleutel- en CommonSecurityLog-namen voor de tijdstempelvelden die beschikbaar zijn voor aangepaste gegevens.

Naam van CEF-sleutel	CommonSecurityLog-naam
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Velden voor aangepaste gegevens in gehele getallen

In de volgende tabel worden de cef-sleutel- en CommonSecurityLog-namen voor de velden met gehele getallen die beschikbaar zijn voor aangepaste gegevens.

Naam van CEF-sleutel	CommonSecurityLog-naam
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Verrijkingsvelden

De volgende CommonSecurityLog-velden worden door Microsoft Sentinel toegevoegd om de oorspronkelijke gebeurtenissen te verrijken die zijn ontvangen van de bronapparaten en hebben geen toewijzingen in CEF-sleutels:

Velden voor bedreigingsinformatie

CommonSecurityLog-veldnaam	Description
IndicatorThreatType	Het bedreigingstype MaliciousIP, op basis van de feed bedreigingsinformatie.
MaliciousIP	Een lijst met IP-adressen in het bericht die correleren met de huidige feed bedreigingsinformatie.
MaliciousIPCountry	Het schadelijkeIP-land, op basis van de geografische gegevens op het moment van opname van de record.
MaliciousIPLa uit	De maliciousIP-lengtegraad, op basis van de geografische informatie op het moment van de record opname.
MaliciousIPLongitude	De maliciousIP-lengtegraad, op basis van de geografische informatie op het moment van de record opname.
ReportReferenceLink	Koppeling naar het bedreigingsinformatierapport.
ThreatConfidence	Het bedreigingsvertrouwen schadelijkeIP, volgens de feed bedreigingsinformatie.
ThreatDescription	De beschrijving van de schadelijkeIP-bedreiging volgens de feed bedreigingsinformatie.
ThreatSeverity	De ernst van de bedreiging voor de MaliciousIP,volgens de feed bedreigingsinformatie op het moment van opname van de record.

Aanvullende verrijkingsvelden

CommonSecurityLog-veldnaam	Description
OriginalLogSeverity	Altijd leeg, ondersteund voor integratie met CiscoASA. Zie het veld LogSeverity voor meer informatie over de ernstwaarden van logboeken.
RemoteIP	Het externe IP-adres. Deze waarde is, indien mogelijk, gebaseerd op het veld CommunicationDirection.
RemotePort	De externe poort. Deze waarde is, indien mogelijk, gebaseerd op het veld CommunicationDirection.
SimplifiedDeviceAction	Vereenvoudigt de DeviceAction-waarde tot een statische set waarden, terwijl de oorspronkelijke waarde in het veld DeviceAction blijft. Bijvoorbeeld: `Denied` > `Deny` .
SourceSystem	Altijd gedefinieerd als OpsManager.

Volgende stappen

Zie uw externe Verbinding maken gebruiken Common Event Format voor meer Common Event Format.