Mapeamento de campo do CEF e do CommonSecurityLog

Artigo
06/01/2023

As tabelas a seguir mapeiam nomes de campo do CEF (Formato Comum de Evento) para os nomes que eles usam no CommonSecurityLog do Microsoft Sentinel e poderão ser úteis quando você estiver trabalhando com uma fonte de dados de CEF no Microsoft Sentinel.

Para obter mais informações, confira Conectar sua solução externa usando o Formato Comum de Evento.

Importante

Em 28 de fevereiro de 2023, introduzimos alterações no esquema da tabela CommonSecurityLog. Após essa alteração, talvez seja necessário revisar e atualizar as consultas personalizadas. Para mais informações, confira a seção de ações recomendadas nesta postagem do blog. O conteúdo pronto para uso (detecções, consultas de busca, pastas de trabalho, analisadores etc.) foi atualizado pelo Microsoft Sentinel.

Observação

Um espaço de trabalho do Microsoft Sentinel é necessário para ingerir os dados CEF no Log Analytics.

A – C

Nome da chave de CEF	Nome do campo do CommonSecurityLog	Descrição
act	DeviceAction	A ação mencionada no evento.
app	ApplicationProtocol	O protocolo usado no aplicativo, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPs e assim por diante.
cat	DeviceEventCategory	Representa a categoria atribuída pelo dispositivo de origem. Os dispositivos geralmente usam o próprio esquema de categorização para classificar o evento. Por exemplo: `/Monitor/Disk/Read`.
cnt	EventCount	Uma contagem associada ao evento, mostrando quantas vezes o mesmo evento foi observado.

D

Nome da chave de CEF	Nome do CommonSecurityLog	Descrição
Fornecedor do Dispositivo	DeviceVendor	Cadeia de caracteres que, junto com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
Produto do Dispositivo	DeviceProduct	Cadeia de caracteres que, junto com as definições de fornecedor e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
Versão do Dispositivo	DeviceVersion	Cadeia de caracteres que, junto com as definições de produto e fornecedor do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
destinationDnsDomain	DestinationDnsDomain	A parte DNS do FQDN (nome de domínio totalmente qualificado).
destinationServiceName	DestinationServiceName	O serviço direcionado pelo evento. Por exemplo, `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	Identifica o destino traduzido referido pelo evento em uma rede IP, como um endereço IP IPv4.
destinationTranslatedPort	DestinationTranslatedPort	Porta após a conversão, como um firewall. Números de porta válidos: `0` - `65535`
deviceDirection	CommunicationDirection	Todas as informações sobre a direção que a comunicação observada levou. Valores válidos: - `0` = Entrada - `1` = Saída
deviceDnsDomain	DeviceDnsDomain	A parte do domínio DNS do FQDN (nome de domínio totalmente qualificado)
DeviceEventClassID	DeviceEventClassID	Cadeia de caracteres ou inteiro que serve como um identificador exclusivo por tipo de evento.
deviceExternalId	deviceExternalId	Um nome que identifica exclusivamente o dispositivo que gera o evento.
deviceFacility	DeviceFacility	A instalação que gera o evento.
deviceInboundInterface	DeviceInboundInterface	A interface na qual o pacote ou os dados foram inseridos no dispositivo.
deviceNtDomain	DeviceNtDomain	O domínio do Windows do endereço do dispositivo
deviceOutboundInterface	DeviceOutboundInterface	A interface pela qual o pacote ou os dados saíram do dispositivo.
devicePayloadId	DevicePayloadId	Identificador exclusivo para o payload associado ao evento.
deviceProcessName	ProcessName	Nome do processo associado ao evento. Por exemplo, no UNIX, o processo que gera a entrada do syslog.
deviceTranslatedAddress	DeviceTranslatedAddress	Identifica o endereço do dispositivo traduzido ao qual o evento se refere em uma rede IP. O formato é um endereço IPv4.
dhost	DestinationHostName	O destino ao qual o evento se refere em uma rede IP. O formato deve ser um FQDN associado ao nó de destino, quando um nó está disponível. Por exemplo, `host.domain.com` ou `host`.
dmac	DestinationMacAddress	O endereço MAC de destino (FQDN)
dntdom	DestinationNTDomain	O nome de domínio do Windows do endereço de destino.
dpid	DestinationProcessId	A ID do processo de destino associado ao evento.
dpriv	DestinationUserPrivileges	Define os privilégios do uso de destino. Valores válidos: `Admninistrator`, `User` e `Guest`
dproc	DestinationProcessName	O nome do processo de destino do evento, como `telnetd` ou `sshd.`
dpt	DestinationPort	Porta de destino. Valores válidos: `*0` - `65535`
dst	DestinationIP	O endereço IpV4 de destino ao qual o evento se refere em uma rede IP.
dtz	DeviceTimeZone	Fuso horário do dispositivo que gera o evento
duid	DestinationUserId	Identifica o usuário de destino por ID.
duser	DestinationUserName	Identifica o usuário de destino por nome.
dvc	DeviceAddress	O endereço IPv4 do dispositivo que gera o evento.
dvchost	DeviceName	O FQDN associado ao nó do dispositivo, quando um nó está disponível. Por exemplo, `host.domain.com` ou `host`.
dvcmac	DeviceMacAddress	O endereço MAC do dispositivo que gera o evento.
dvcpid	ID do Processo	Define a ID do processo no dispositivo que gera o evento.

E – I

Nome da chave de CEF	Nome do CommonSecurityLog	Descrição
externalId	ExternalId	Uma ID usada pelo dispositivo de origem. Normalmente, esses valores têm valores crescentes que são associados a um evento.
fileCreateTime	FileCreateTime	Hora que o arquivo foi criado.
fileHash	FileHash	Hash de um arquivo.
fileId	FileID	Uma ID associada a um arquivo, como inode.
fileModificationTime	FileModificationTime	Hora em que o arquivo foi modificado pela última vez.
filePath	FilePath	Caminho completo para o arquivo, incluindo o nome do arquivo. Por exemplo: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` ou `/usr/bin/zip`.
filePermission	FilePermission	As permissões do arquivo.
FileType	FileType	Tipo de arquivo, como pipe, soquete e assim por diante.
fname	FileName	O nome do arquivo, sem o caminho.
fsize	FileSize	O tamanho do arquivo.
Host	Computador	Host, do Syslog
in	ReceivedBytes	Número de bytes transferidos em entrada.

M – P

Nome da chave de CEF	Nome do CommonSecurityLog	Descrição
msg	Mensagem	Uma mensagem que fornece mais detalhes sobre o evento.
Nome	Atividade	Uma cadeia de caracteres que representa uma descrição legível e compreensível do evento.
oldFileCreateTime	OldFileCreateTime	Hora em que o arquivo antigo foi criado.
oldFileHash	OldFileHash	Hash do arquivo antigo.
oldFileId	OldFileId	ID associada ao arquivo antigo, como o inode.
oldFileModificationTime	OldFileModificationTime	Hora em que o arquivo antigo foi modificado pela última vez.
oldFileName	OldFileName	Nome do arquivo antigo.
oldFilePath	OldFilePath	Caminho completo para o arquivo antigo, incluindo o nome do arquivo. Por exemplo, `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` ou `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Permissões do arquivo antigo.
oldFileSize	OldFileSize	Tamanho do arquivo antigo.
oldFileType	OldFileType	Tipo do arquivo antigo, como um pipe, soquete e assim por diante.
out	SentBytes	Número de bytes transferidos em saída.
resultado	EventOutcome	Resultado do evento, como `success` ou `failure`.
proto	Protocolo	Protocolo de transporte que identifica o protocolo Layer-4 usado. Os valores possíveis incluem nomes de protocolo, como `TCP` ou `UDP`.

R – T

Nome da chave de CEF	Nome do CommonSecurityLog	Descrição
reason	Motivo	O motivo pelo qual um evento de auditoria foi gerado. Por exemplo `badd password` ou `unknown user`. Também pode ser um erro ou um código de retorno. Por exemplo: `0x1234`.
Solicitação	RequestURL	A URL acessada para uma solicitação HTTP, incluindo o protocolo. Por exemplo, `http://www/secure.com`
requestClientApplication	RequestClientApplication	O agente de usuário associado com a solicitação.
requestContext	RequestContext	Descreve o conteúdo do qual a solicitação se originou, como o referenciador HTTP.
requestCookies	RequestCookies	Cookies associados com a solicitação.
requestMethod	RequestMethod	O método usado para acessar uma URL. Os valores válidos incluem métodos como `POST`, `GET` e assim por diante.
rt	ReceiptTime	A hora em que o evento relacionado à atividade foi recebido.
Severidade	LogSeverity	Uma cadeia de caracteres ou um inteiro que descreve a importância do evento. Valores da cadeia de caracteres válidos: `Unknown` , `Low`, `Medium`, `High`, `Very-High` Os valores inteiros válidos são: - `0`-`3` = Baixo - `4`-`6` = Médio - `7`-`8` = Alto - `9`-`10` = Muito alto
shost	SourceHostName	Identifica a fonte à qual o evento se refere em uma rede IP. O formato deve ser um nome de domínio totalmente qualificado (FQDN) associado ao nó de origem, quando um nó está disponível. Por exemplo, `host` ou `host.domain.com`.
smac	SourceMacAddress	Endereço MAC de origem.
sntdom	SourceNTDomain	O nome de domínio do Windows para o endereço de origem.
sourceDnsDomain	SourceDnsDomain	A parte do domínio DNS do FQDN completo.
sourceServiceName	SourceServiceName	O serviço responsável por gerar o evento.
sourceTranslatedAddress	SourceTranslatedAddress	Identifica a origem traduzida à qual o evento se refere em uma rede IP.
sourceTranslatedPort	SourceTranslatedPort	Porta de origem após a conversão, como um firewall. Os números de porta válidos são `0` - `65535`.
spid	SourceProcessId	A ID do processo de origem associado ao evento.
spriv	SourceUserPrivileges	Os privilégios do usuário de origem. Os valores válidos incluem: `Administrator`, `User`, `Guest`
sproc	SourceProcessName	O nome do processo de origem do evento.
spt	SourcePort	O número da porta de origem. Os números de porta válidos são `0` - `65535`.
src	SourceIP	A origem à qual um evento se refere em uma rede IP, como um endereço IPv4.
suid	SourceUserID	Identifica o usuário de origem por ID.
suser	SourceUserName	Identifica o usuário de origem por nome.
type	EventType	Tipo de evento. Os valores válidos são: - `0`: evento base - `1`: agregado - `2`: evento de correlação - `3`: evento de ação Observação: este evento pode ser omitido para eventos base.

Campos Personalizados

As tabelas a seguir mapeiam os nomes de chaves de CEF e os campos do CommonSecurityLog que estão disponíveis para os clientes usarem para dados que não se aplicam a nenhum dos campos internos.

Campos de endereço IPv6 personalizados

A tabela a seguir mapeia a chave de CEF e os nomes do CommonSecurityLog para os campos de endereço IPv6 disponíveis para dados personalizados.

Nome da chave de CEF	Nome do CommonSecurityLog
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Custom number fields

A tabela a seguir mapeia a chave de CEF e os nomes do CommonSecurityLog para os campos de número disponíveis para dados personalizados.

Nome da chave de CEF	Nome do CommonSecurityLog
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Campos de cadeia de caracteres personalizados

A tabela a seguir mapeia a chave de CEF e os nomes do CommonSecurityLog para os campos de cadeia de caracteres disponíveis para dados personalizados.

Nome da chave de CEF	Nome do CommonSecurityLog
cs1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Dica

¹ Recomendamos que você use os campos do DeviceCustomString com moderação e use campos internos mais específicos, quando possível.

Campos de carimbo de data/hora personalizados

A tabela a seguir mapeia a chave de CEF e os nomes do CommonSecurityLog para os campos de carimbo de data e hora disponíveis para dados personalizados.

Nome da chave de CEF	Nome do CommonSecurityLog
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Campos de dados de inteiros personalizados

A tabela a seguir mapeia a chave de CEF e os nomes do CommonSecurityLog para os campos de inteiros disponíveis para dados personalizados.

Nome da chave de CEF	Nome do CommonSecurityLog
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Campos de enriquecimento

Os campos do CommonSecurityLog a seguir são adicionados pelo Microsoft Sentinel para enriquecer os eventos originais recebidos dos dispositivos de origem e não têm mapeamentos em chaves de CEF:

Campos de inteligência contra ameaças

Nome do campo do CommonSecurityLog	Descrição
IndicatorThreatType	O tipo de ameaça MaliciousIP, de acordo com o feed de inteligência contra ameaças.
MaliciousIP	Lista todos os endereços IP na mensagem que se correlaciona com o feed de inteligência contra ameaças atual.
MaliciousIPCountry	O país/região do MaliciousIP, de acordo com as informações geográficas no momento da ingestão do registro.
MaliciousIPLatitude	A longitude do MaliciousIP, de acordo com as informações geográficas no momento da ingestão de registros.
MaliciousIPLongitude	A longitude do MaliciousIP, de acordo com as informações geográficas no momento da ingestão de registros.
ReportReferenceLink	Link para o relatório de inteligência contra ameaças.
ThreatConfidence	A confiança da ameaça do MaliciousIP, de acordo com o feed de inteligência contra ameaças.
ThreatDescription	A descrição da ameaça do MaliciousIP, de acordo com o feed de inteligência contra ameaças.
ThreatSeverity	A severidade da ameaça do MaliciousIP, de acordo com o feed de inteligência contra ameaças no momento da ingestão de registros.

Campos de enriquecimento adicionais

Nome do campo do CommonSecurityLog	Descrição
OriginalLogSeverity	Sempre vazio, com suporte para integração com CiscoASA. Para obter detalhes sobre os valores de severidade de log, confira o campo LogSeverity.
RemoteIP	O endereço IP remoto. Este valor se baseia no campo CommunicationDirection, se possível.
RemotePort	A porta remota. Este valor se baseia no campo CommunicationDirection, se possível.
SimplifiedDeviceAction	Simplifica o valor de DeviceAction para um conjunto estático de valores, mantendo o valor original no campo DeviceAction. Por exemplo: `Denied`>`Deny`.
SourceSystem	Sempre definido como OpsManager.

Próximas etapas