Dela via

CEF- och CommonSecurityLog-fältmappning

  • Artikel

Följande tabeller mappar CEF-fältnamn (Common Event Format) till de namn som de använder i Microsoft Sentinels CommonSecurityLog, och kan vara användbara när du arbetar med en CEF-datakälla i Microsoft Sentinel.

Mer information finns i Anslut din externa lösning med hjälp av Common Event Format.

Viktigt!

Den 28 februari 2023 introducerade vi ändringar i CommonSecurityLog-tabellschemat. Efter den här ändringen kan du behöva granska och uppdatera anpassade frågor. Mer information finns i avsnittet rekommenderade åtgärder i det här blogginlägget. Det färdiga innehållet (identifieringar, jaktfrågor, arbetsböcker, parsare osv.) har uppdaterats av Microsoft Sentinel.

Kommentar

En Microsoft Sentinel-arbetsyta krävs för att mata in CEF-data i Log Analytics.

A – C

CEF-nyckelnamn CommonSecurityLog-fältnamn Description
act DeviceAction Åtgärden som nämns i händelsen.
-program ApplicationProtocol Protokollet som används i programmet, till exempel HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS och så vidare.
cat DeviceEventCategory Representerar den kategori som tilldelats av den ursprungliga enheten. Enheter använder ofta sitt eget kategoriseringsschema för att klassificera händelsen. Exempel: /Monitor/Disk/Read.
Cnt EventCount Ett antal som är associerade med händelsen, som visar hur många gånger samma händelse observerades.

D

CEF-nyckelnamn CommonSecurityLog-namn Description
Enhetsleverantör DeviceVendor Sträng som tillsammans med enhetsprodukt- och versionsdefinitioner unikt identifierar typen av sändande enhet.
Enhetsprodukt DeviceProduct Sträng som tillsammans med enhetsleverantörs- och versionsdefinitioner unikt identifierar typen av sändande enhet.
Enhetsversion DeviceVersion Sträng som tillsammans med enhetsprodukt- och leverantörsdefinitioner unikt identifierar typen av sändande enhet.
destinationDnsDomain DestinationDnsDomain DNS-delen av det fullständigt kvalificerade domännamnet (FQDN).
destinationServiceName DestinationServiceName Den tjänst som händelsen riktar sig till. Exempel: sshd
destinationTranslatedAddress DestinationTranslatedAddress Identifierar det översatta mål som händelsen refererar till i ett IP-nätverk som en IP-adress för IPv4.
destinationTranslatedPort DestinationTranslatedPort Port, efter översättning, till exempel en brandvägg.
Giltiga portnummer: 0 - 65535
deviceDirection CommunicationDirection All information om den riktning som den observerade kommunikationen har tagit. Giltiga värden:
- 0 = Inkommande
- 1 = Utgående
deviceDnsDomain DeviceDnsDomain DNS-domändelen av det fullständiga kvalificerade domännamnet (FQDN)
DeviceEventClassID DeviceEventClassID Sträng eller heltal som fungerar som en unik identifierare per händelsetyp.
deviceExternalId deviceExternalId Ett namn som unikt identifierar enheten som genererar händelsen.
deviceFacility DeviceFacility Den anläggning som genererar händelsen.
deviceInboundInterface DeviceInboundInterface Gränssnittet där paketet eller data har angetts för enheten.
deviceNtDomain DeviceNtDomain Windows-domänen för enhetsadressen
deviceOutboundInterface DeviceOutboundInterface Gränssnitt där paketet eller data lämnade enheten.
devicePayloadId DevicePayloadId Unik identifierare för nyttolasten som är associerad med händelsen.
deviceProcessName ProcessName Processnamn som är associerat med händelsen.

I UNIX genererar till exempel processen syslog-posten.
deviceTranslatedAddress DeviceTranslatedAddress Identifierar den översatta enhetsadress som händelsen refererar till i ett IP-nätverk.

Formatet är en Ipv4-adress.
dhost DestinationHostName Målet som händelsen refererar till i ett IP-nätverk.
Formatet ska vara ett FQDN som är associerat med målnoden när en nod är tillgänglig. Exempel: host.domain.com eller host.
dmac DestinationMacAddress Målets MAC-adress (FQDN)
dntdom DestinationNTDomain Måladressens Windows-domännamn.
dpid DestinationProcessId ID:t för målprocessen som är associerad med händelsen.
dpriv DestinationUserPrivileges Definierar målanvändningens behörigheter.
Giltiga värden: Admninistrator, User, Guest
dproc DestinationProcessName Namnet på händelsens målprocess, till exempel telnetd eller sshd.
dpt DestinationPort Målport.
Giltiga värden: *0 - 65535
Dst Mål-IP IpV4-måladressen som händelsen refererar till i ett IP-nätverk.
dtz DeviceTimeZone Tidszon för enheten som genererar händelsen
duid DestinationUserId Identifierar målanvändaren efter ID.
duser DestinationUserName Identifierar målanvändaren efter namn.
Dvc DeviceAddress IPv4-adressen för enheten som genererar händelsen.
dvchost DeviceName Det FQDN som är associerat med enhetsnoden när en nod är tillgänglig. Exempel: host.domain.com eller host.
dvcmac DeviceMacAddress MAC-adressen för enheten som genererar händelsen.
dvcpid Process ID Definierar ID för processen på enheten som genererar händelsen.

E - I

CEF-nyckelnamn CommonSecurityLog-namn Description
externalId ExternalID Ett ID som används av den ursprungliga enheten. Vanligtvis har dessa värden ökande värden som var och en är associerade med en händelse.
fileCreateTime FileCreateTime Tid då filen skapades.
fileHash FileHash Hash för en fil.
Fileid Fileid Ett ID som är associerat med en fil, till exempel innoden.
fileModificationTime FileModificationTime Tid då filen senast ändrades.
Filepath Filepath Fullständig sökväg till filen, inklusive filnamnet. Till exempel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe eller /usr/bin/zip.
filePermission FilePermission Filens behörigheter.
Filtyp Filtyp Filtyp, till exempel rör, socket och så vidare.
Fname FileName Filens namn, utan sökvägen.
fsize Filstorlek Filens storlek.
Host Dator Värd, från Syslog
i ReceivedBytes Antal byte som överförts inkommande.

M - P

CEF-nyckelnamn CommonSecurityLog-namn Description
msg Meddelande Ett meddelande som ger mer information om händelsen.
Name Aktivitet En sträng som representerar en läsbar och begriplig beskrivning av händelsen.
oldFileCreateTime OldFileCreateTime Tidpunkt då den gamla filen skapades.
oldFileHash OldFileHash Hash för den gamla filen.
oldFileId OldFileId Och ID som är associerat med den gamla filen, till exempel innoden.
oldFileModificationTime OldFileModificationTime Tidpunkt då den gamla filen senast ändrades.
oldFileName OldFileName Namnet på den gamla filen.
oldFilePath OldFilePath Fullständig sökväg till den gamla filen, inklusive filnamnet.
Exempel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe eller /usr/bin/zip.
oldFilePermission OldFilePermission Behörigheter för den gamla filen.
oldFileSize OldFileSize Storleken på den gamla filen.
oldFileType OldFileType Filtyp för den gamla filen, till exempel ett rör, socket och så vidare.
ut SentBytes Antal byte som överförts utgående.
resultat EventOutcome Resultatet av händelsen, till exempel success eller failure.
Proto Protokoll Transportprotokoll som identifierar det Layer-4-protokoll som används.

Möjliga värden inkluderar protokollnamn, till exempel TCP eller UDP.

R–T

CEF-nyckelnamn CommonSecurityLog-namn Description
orsak Anledning Anledningen till att en granskningshändelse genererades. Till exempel badd password eller unknown user. Det kan också vara ett fel eller en returkod. Exempel: 0x1234.
Begär RequestURL URL:en som används för en HTTP-begäran, inklusive protokollet. Till exempel http://www/secure.com
requestClientApplication RequestClientApplication Användaragenten som är associerad med begäran.
requestContext RequestContext Beskriver innehållet som begäran kommer från, till exempel HTTP-referensen.
requestCookies RequestCookies Cookies som är associerade med begäran.
requestMethod RequestMethod Den metod som används för att komma åt en URL.

Giltiga värden inkluderar metoder som POST, GEToch så vidare.
Rt ReceiptTime Den tidpunkt då händelsen som var relaterad till aktiviteten togs emot.
Allvarlighet LogSeverity En sträng eller ett heltal som beskriver händelsens betydelse.

Giltiga strängvärden: Unknown , Low, Medium, , HighVery-High

Giltiga heltalsvärden är:
- 0-3 = Låg
- 4-6 = Medel
- 7-8 = Hög
- 9-10 = Mycket hög
shost SourceHostName Identifierar källan som händelsen refererar till i ett IP-nätverk. Formatet ska vara ett fullständigt kvalificerat domännamn (DQDN) som är associerat med källnoden när en nod är tillgänglig. Exempel: host eller host.domain.com.
smac KällaMacAddress Källans MAC-adress.
sntdom SourceNTDomain Windows-domännamnet för källadressen.
sourceDnsDomain SourceDnsDomain DNS-domändelen av det fullständiga fullständiga fullständiga domännamnet.
sourceServiceName SourceServiceName Tjänsten som ansvarar för att generera händelsen.
sourceTranslatedAddress SourceTranslatedAddress Identifierar den översatta källa som händelsen refererar till i ett IP-nätverk.
sourceTranslatedPort SourceTranslatedPort Källport efter översättning, till exempel en brandvägg.
Giltiga portnummer är 0 - 65535.
Spid SourceProcessId ID:t för källprocessen som är associerad med händelsen.
spriv SourceUserPrivileges Källanvändarens behörigheter.

Giltiga värden är: Administrator, User, Guest
sproc SourceProcessName Namnet på händelsens källprocess.
Spt SourcePort Källportnumret.
Giltiga portnummer är 0 - 65535.
src Käll-IP Källan som en händelse refererar till i ett IP-nätverk, som en IPv4-adress.
Suid SourceUserID Identifierar källanvändaren efter ID.
suser SourceUserName Identifierar källanvändaren efter namn.
type EventType Händelsetyp. Värdevärden inkluderar:
- 0: bashändelse
- 1:Aggregerade
- 2: korrelationshändelse
- 3: åtgärdshändelse

Obs! Den här händelsen kan utelämnas för bashändelser.

Anpassade fält

I följande tabeller mappas namnen på CEF-nycklar och CommonSecurityLog-fält som är tillgängliga för kunder att använda för data som inte gäller för något av de inbyggda fälten.

Anpassade IPv6-adressfält

I följande tabell mappas CEF-nyckel- och CommonSecurityLog-namn för de IPv6-adressfält som är tillgängliga för anpassade data.

CEF-nyckelnamn CommonSecurityLog-namn
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
cfp1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
cfp2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
cfp3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
cfp4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

Fält för anpassat nummer

I följande tabell mappas CEF-nyckel- och CommonSecurityLog-namn för de nummerfält som är tillgängliga för anpassade data.

CEF-nyckelnamn CommonSecurityLog-namn
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
Cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

Anpassade strängfält

I följande tabell mappas CEF-nyckel- och CommonSecurityLog-namn för de strängfält som är tillgängliga för anpassade data.

CEF-nyckelnamn CommonSecurityLog-namn
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
Cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Dricks

1 Vi rekommenderar att du använder fälten DeviceCustomString sparsamt och använder mer specifika, inbyggda fält när det är möjligt.

Anpassade tidsstämpelfält

I följande tabell mappas CEF-nyckel- och CommonSecurityLog-namn för de tidsstämpelfält som är tillgängliga för anpassade data.

CEF-nyckelnamn CommonSecurityLog-namn
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

Anpassade heltalsdatafält

I följande tabell mappas CEF-nyckel- och CommonSecurityLog-namn för heltalsfälten som är tillgängliga för anpassade data.

CEF-nyckelnamn CommonSecurityLog-namn
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

Berikningsfält

Följande CommonSecurityLog-fält läggs till av Microsoft Sentinel för att utöka de ursprungliga händelserna som tagits emot från källenheterna och har inte mappningar i CEF-nycklar:

Fält för hotinformation

CommonSecurityLog-fältnamn Description
IndicatorThreatType Hottypen MaliciousIP enligt hotinformationsflödet.
SkadligTIP Visar en lista över ip-adresser i meddelandet som korrelerar med den aktuella hotinformationsfeeden.
MaliciousIPCountry Det skadligaIP-landet /regionen, enligt den geografiska informationen vid tidpunkten för postinmatningen.
MaliciousIPLatitude MaliciousIP-longitud enligt geografisk information vid tidpunkten för postinmatningen.
MaliciousIPLongitude MaliciousIP-longitud enligt geografisk information vid tidpunkten för postinmatningen.
ReportReferenceLink Länk till hotinformationsrapporten.
ThreatConfidence SkadligtIP-hotförtroende, enligt hotinformationsflödet.
ThreatDescription Beskrivningen av skadligtIP-hot , enligt hotinformationsflödet.
ThreatSeverity Hotets allvarlighetsgrad för MaliciousIP, enligt hotinformationsflödet vid tidpunkten för postinmatningen.

Ytterligare berikningsfält

CommonSecurityLog-fältnamn Description
OriginalLogSeverity Alltid tom, stöds för integrering med CiscoASA.
Mer information om loggens allvarlighetsgradsvärden finns i fältet LogSeverity .
RemoteIP Fjärr-IP-adressen.
Det här värdet baseras om möjligt på fältet CommunicationDirection .
RemotePort Fjärrporten.
Det här värdet baseras om möjligt på fältet CommunicationDirection .
SimplifiedDeviceAction Förenklar DeviceAction-värdet till en statisk uppsättning värden, samtidigt som det ursprungliga värdet bevaras i fältet DeviceAction .
Exempel: Denied>Deny.
SourceSystem Definieras alltid som OpsManager.

Nästa steg

Mer information finns i Anslut din externa lösning med hjälp av Common Event Format.