CeF- och CommonSecurityLog-fältmappning

  • Artikel
  • 7 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Följande tabeller mappar Common Event Format (CEF) fältnamn till de namn som de använder i Microsoft Sentinel CommonSecurityLog och kan vara till hjälp när du arbetar med en CEF-datakälla i Microsoft Sentinel.

Mer information finns i Anslut externa lösningen med hjälp av Common Event Format.

Anteckning

En Microsoft Sentinel-arbetsyta krävs för att kunna mata in CEF-data i Log Analytics.

A–C

CEF-nyckelnamn CommonSecurityLog-fältnamn Description
Agera DeviceAction Åtgärden som nämns i händelsen.
app ApplicationProtocol Protokollet som används i programmet, till exempel HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS och så vidare.
Cnt EventCount Ett antal som är associerade med händelsen som visar hur många gånger samma händelse observerades.

D

CEF-nyckelnamn CommonSecurityLog-namn Description
Enhetsleverantör DeviceVendor Sträng som tillsammans med enhetsprodukt- och versionsdefinitioner unikt identifierar typen av skickande enhet.
Enhetsprodukt DeviceProduct Sträng som tillsammans med enhetsleverantörs- och versionsdefinitioner unikt identifierar typen av skickande enhet.
Enhetsversion DeviceVersion Sträng som tillsammans med enhetsprodukt- och leverantörsdefinitioner unikt identifierar typen av skickande enhet.
destinationDnsDomain DestinationDnsDomain DNS-delen av det fullständigt kvalificerade domännamnet (FQDN).
destinationServiceName DestinationServiceName Den tjänst som är mål för händelsen. Till exempel sshd.
destinationTranslatedAddress DestinationTranslatedAddress Identifierar det översatta mål som händelsen refererar till i ett IP-nätverk som en IPv4 IP-adress.
destinationTranslatedPort DestinationTranslatedPort Port efter översättning, till exempel en brandvägg.
Giltiga portnummer: 0 - 65535
deviceDirection CommunicationDirection All information om den riktning som den observerade kommunikationen har tagit. Giltiga värden:
- 0 = Inkommande
- 1 = Utgående
deviceDnsDomain DeviceDnsDomain DNS-domändelen av det fullständiga kvalificerade domännamnet (FQDN)
DeviceEventClassID DeviceEventClassID Sträng eller heltal som fungerar som en unik identifierare per händelsetyp.
deviceExternalID DeviceExternalID Ett namn som unikt identifierar den enhet som genererar händelsen.
deviceIty DeviceIty Anläggningen som genererar händelsen.
deviceInboundInterface DeviceInboundInterface Gränssnittet där paketet eller data kom in på enheten.
deviceNtDomain DeviceNtDomain Enhetsadressens Windows domän
deviceOutboundInterface DeviceOutboundInterface Gränssnitt där paketet eller data lämnar enheten.
devicePayloadId DevicePayloadId Unik identifierare för nyttolasten som är associerad med händelsen.
deviceProcessName ProcessName Processnamn som är associerat med händelsen.

I till exempel UNIX processen att generera syslog-posten.
deviceTranslatedAddress DeviceTranslatedAddress Identifierar den översatta enhetsadress som händelsen refererar till i ett IP-nätverk.

Formatet är en Ipv4-adress.
dhost DestinationHostName Målet som händelsen refererar till i ett IP-nätverk.
Formatet ska vara ett FQDN som är associerat med målnoden när en nod är tillgänglig. Exempel: host.domain.com eller host.
dmac DestinationMacAddress MAC-måladressen (FQDN)
dntdom DestinationNTDomain Den Windows domännamnet för måladressen.
dpid DestinationProcessId ID:t för målprocessen som är associerad med händelsen.
dpriv DestinationUserPrivileges Definierar målanvändningens behörigheter.
Giltiga värden: Admninistrator , User , Guest
dproc DestinationProcessName Namnet på händelsens målprocess, till exempel telnetd eller sshd.
dpt DestinationPort Målport.
Giltiga värden: *0 - 65535
Dst DestinationIP IpV4-måladressen som händelsen refererar till i ett IP-nätverk.
dtz DeviceTimeZone Tidszon för enheten som genererar händelsen
duid DestinationUserId Identifierar målanvändaren efter ID.
duser DestinationUserName Identifierar målanvändaren efter namn.
Dvc DeviceAddress IPv4-adressen för den enhet som genererar händelsen.
dvchost DeviceName Det FQDN som är associerat med enhetsnoden när en nod är tillgänglig. Exempel: host.domain.com eller host.
dvcmac DeviceMacAddress MAC-adressen för den enhet som genererar händelsen.
dvcpid Process-ID Definierar ID för processen på den enhet som genererar händelsen.

E–I

CEF-nyckelnamn CommonSecurityLog-namn Description
externalId ExternalID Ett ID som används av den ursprungliga enheten. Dessa värden har vanligtvis ökande värden som var och en är associerad med en händelse.
fileCreateTime FileCreateTime Tid när filen skapades.
fileHash FileHash Hash för en fil.
Fileid Fileid Ett ID som är associerat med en fil, till exempel i-i-uret.
fileModificationTime FileModificationTime Tid när filen senast ändrades.
Filepath Filepath Fullständig sökväg till filen, inklusive filnamnet. Till exempel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe eller /usr/bin/zip .
filePermission FilePermission Filens behörigheter.
Filtyp Filtyp Filtyp, till exempel pipe, socket och så vidare.
Fname Filnamn Filens namn, utan sökvägen.
fsize Filstorlek Filens storlek.
Värd Dator Värd, från Syslog
in ReceivedBytes Antal byte som överförts inkommande.

M–P

CEF-nyckelnamn CommonSecurityLog-namn Description
msg Meddelande Ett meddelande som ger mer information om händelsen.
Name Aktivitet En sträng som representerar en läsbar och begriplig beskrivning av händelsen.
oldFileCreateTime OldFileCreateTime Tid när den gamla filen skapades.
oldFileHash OldFileHash Hash för den gamla filen.
oldFileId OldFileId Och ID som är associerat med den gamla filen, till exempel i-uret.
oldFileModificationTime OldFileModificationTime Tid när den gamla filen senast ändrades.
oldFileName OldFileName Namnet på den gamla filen.
oldFilePath OldFilePath Fullständig sökväg till den gamla filen, inklusive filnamnet.
Exempel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe eller /usr/bin/zip.
oldFilePermission OldFilePermission Behörigheter för den gamla filen.
oldFileSize OldFileSize Storleken på den gamla filen.
oldFileType OldFileType Filtypen för den gamla filen, till exempel en pipe, socket och så vidare.
out SentBytes Antal byte som överförts utgående.
Resultat Resultat Resultatet av händelsen, till exempel success eller failure .
proto Protokoll Transportprotokoll som identifierar layer-4-protokollet som används.

Möjliga värden inkluderar protokollnamn, till exempel TCP eller UDP .

R–T

CEF-nyckelnamn CommonSecurityLog-namn Description
Förfrågan RequestURL Den URL som nås för en HTTP-begäran, inklusive protokollet. Till exempel http://www/secure.com
requestClientApplication RequestClientApplication Användaragenten som är associerad med begäran.
requestContext RequestContext Beskriver det innehåll som begäran kom från, till exempel HTTP-referensen.
requestCookies RequestCookies Cookies som är associerade med begäran.
requestMethod RequestMethod Den metod som används för att komma åt en URL.

Giltiga värden omfattar metoder som POST , GET och så vidare.
Rt ReceiptTime Den tid då händelsen relaterad till aktiviteten togs emot.
Allvarlighetsgrad LogSeverity En sträng eller ett heltal som beskriver händelsens betydelse.

Giltiga strängvärden: Unknown , Low , , Medium High , Very-High

Giltiga heltalsvärden är:
- 0-3 = Låg
- 4-6 = Medel
- 7-8 = Hög
- 9-10 = Very-High
shost SourceHostName Identifierar källan som händelsen refererar till i ett IP-nätverk. Formatet ska vara ett fullständigt kvalificerat domännamn (DQDN) som är associerat med källnoden när en nod är tillgänglig. Exempel: host eller host.domain.com.
smac SourceMacAddress Mac-källadress.
sntdom SourceNTDomain Den Windows domännamnet för källadressen.
sourceDnsDomain SourceDnsDomain DNS-domändelen av det fullständiga FQDN:et.
sourceServiceName SourceServiceName Den tjänst som ansvarar för att generera händelsen.
sourceTranslatedAddress SourceTranslatedAddress Identifierar den översatta källa som händelsen refererar till i ett IP-nätverk.
sourceTranslatedPort SourceTranslatedPort Källport efter översättning, till exempel en brandvägg.
Giltiga portnummer är 0 - 65535 .
Spid SourceProcessId ID:t för den källprocess som är associerad med händelsen.
spriv SourceUserPrivileges Källanvändarens behörigheter.

Giltiga värden är: Administrator , User , Guest
sproc SourceProcessName Namnet på händelsens källprocess.
Spt SourcePort Källportnumret.
Giltiga portnummer är 0 - 65535 .
src SourceIP Källan som en händelse refererar till i ett IP-nätverk som en IPv4-adress.
Suid SourceUserID Identifierar källanvändaren efter ID.
suser SourceUserName Identifierar källanvändaren efter namn.
typ Eventtype Händelsetyp. Här är några av värdevärdena:
- 0: bashändelse
- 1: aggregerad
- 2: korrelationshändelse
- 3: åtgärdshändelse

Obs! Den här händelsen kan utelämnas för bashändelser.

Anpassade fält

Följande tabeller mappar namnen på CEF-nycklar och CommonSecurityLog-fält som är tillgängliga för kunder att använda för data som inte gäller för något av de inbyggda fälten.

Anpassade IPv6-adressfält

Följande tabell mappar CEF-nyckeln och CommonSecurityLog-namnen för de IPv6-adressfält som är tillgängliga för anpassade data.

CEF-nyckelnamn CommonSecurityLog-namn
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
1 DeviceCustomFloatingPoint1
1Label deviceCustomFloatingPoint1Label
2 DeviceCustomFloatingPoint2
2Label deviceCustomFloatingPoint2Label
3 DeviceCustomFloatingPoint3
3Label deviceCustomFloatingPoint3Label
4 DeviceCustomFloatingPoint4
4Label deviceCustomFloatingPoint4Label

Anpassade nummerfält

Följande tabell mappar CEF-nyckeln och CommonSecurityLog-namnen för de nummerfält som är tillgängliga för anpassade data.

CEF-nyckelnamn CommonSecurityLog-namn
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
Cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

Anpassade strängfält

Följande tabell mappar CEF-nyckeln och CommonSecurityLog-namnen för strängfälten som är tillgängliga för anpassade data.

CEF-nyckelnamn CommonSecurityLog-namn
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
Cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Tips

1 Vi rekommenderar att du använder DeviceCustomString-fälten sparsamt och använder mer specifika, inbyggda fält när det är möjligt.

Anpassade tidsstämpelfält

Följande tabell mappar CEF-nyckeln och CommonSecurityLog-namnen för de tidsstämpelfält som är tillgängliga för anpassade data.

CEF-nyckelnamn CommonSecurityLog-namn
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

Anpassade heltalsdatafält

Följande tabell mappar CEF-nyckeln och CommonSecurityLog-namnen för de heltalsfält som är tillgängliga för anpassade data.

CEF-nyckelnamn CommonSecurityLog-namn
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

Berikningsfält

Följande CommonSecurityLog-fält läggs till av Microsoft Sentinel för att utöka de ursprungliga händelser som togs emot från källenheterna och som inte har mappningar i CEF-nycklar:

Fält för hotinformation

CommonSecurityLog-fältnamn Description
IndicatorThreatType Hottypen MaliciousIP enligt hotinformationsflödet.
SkadligIP Visar alla IP-adresser i meddelandet som korrelerar med det aktuella hotinformationsflödet.
MaliciousIPCountry Det skadliga IP-landet, enligt geografisk information vid tidpunkten för postinmatningen.
SkadligIPLatitude MaliciousIP-longituden, enligt geografisk information vid tidpunkten för postinmatningen.
SkadligIPLongitude MaliciousIP-longituden, enligt geografisk information vid tidpunkten för postinmatningen.
ReportReferenceLink Länk till hotinformationsrapporten.
ThreatConfidence Det skadligaIP-hotets konfidens enligt hotinformationsflödet.
ThreatDescription Hotbeskrivningen SkadligIP enligt hotinformationsflödet.
HotVaro Allvarlighetsgraden för skadligIPenligt hotinformationsflödet vid tidpunkten för postinmatningen.

Ytterligare berikningsfält

CommonSecurityLog-fältnamn Description
OriginalLogSeverity Alltid tom, stöds för integrering med CiscoASA.
Mer information om loggens allvarlighetsgrad finns i fältet LogSeverity.
RemoteIP Fjärr-IP-adressen.
Det här värdet baseras om möjligt på fältet CommunicationDirection.
RemotePort Fjärrporten.
Det här värdet baseras om möjligt på fältet CommunicationDirection.
SimplifiedDeviceAction Förenklar DeviceAction-värdet till en statisk uppsättning värden, samtidigt som det ursprungliga värdet finns kvar i fältet DeviceAction.
Till exempel: Denied > Deny .
SourceSystem Definieras alltid som OpsManager.

Nästa steg

Mer information finns i Anslut externa lösningen med hjälp av Common Event Format.