CEF ve CommonSecurityLog alan eşlemesi

Makale
11/18/2021
Okumak için 7 dakika

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Aşağıdaki tablolarda, Common Event Format (CEF) alan adları Microsoft Sentinel'in CommonSecurityLog'larında kullanılan adlarla eşleniyor ve Microsoft Sentinel'de CEF veri kaynağıyla çalışırken yararlı olabilir.

Daha fazla bilgi için bkz. Bağlan Biçimi kullanarak dış çözümlerinizi kaydetme.

Not

CEF verilerini Log Analytics'e alan bir Microsoft Sentinel çalışma alanı gereklidir.

A - C

CEF anahtar adı	CommonSecurityLog alan adı	Description
Hareket	DeviceAction	Olayda belirtilen eylem.
Uygulama	ApplicationProtocol	Uygulamada http, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS gibi kullanılan protokol.
Cnt	EventCount	Aynı olayın kaç kez gözlemlenmiş olduğunu gösteren olayla ilişkilendirilmiş bir sayı.

D

CEF anahtar adı	CommonSecurityLog adı	Description
Cihaz Satıcısı	DeviceVendor	Cihaz ürün ve sürüm tanımları ile birlikte gönderen cihazın türünü benzersiz olarak tanımlayan dize.
Cihaz Ürünü	DeviceProduct	Cihaz satıcısı ve sürüm tanımları ile birlikte gönderen cihazın türünü benzersiz olarak tanımlayan dize.
Cihaz Sürümü	DeviceVersion	Cihaz ürünü ve satıcı tanımları ile birlikte gönderen cihazın türünü benzersiz olarak tanımlayan dize.
destinationDnsDomain	DestinationDnsDomain	Tam etki alanı adının (FQDN) DNS bölümü.
destinationServiceName	DestinationServiceName	Olay tarafından hedeflenen hizmet. Örneğin, `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	Ip ağının olayı tarafından başvurulan çevrilmiş hedefi IPv4 IP adresi olarak tanımlar.
destinationTranslatedPort	DestinationTranslatedPort	Çeviriden sonra güvenlik duvarı gibi bağlantı noktası. Geçerli bağlantı noktası numaraları: `0` - `65535`
deviceDirection	CommunicationDirection	Gözlemlenen iletişimin hangi yöne doğru ilerledkileri hakkında herhangi bir bilgi. Geçerli değerler: - `0` = Gelen - `1` = Giden
deviceDnsDomain	DeviceDnsDomain	Tam etki alanı adının (FQDN) DNS etki alanı bölümü
DeviceEventClassID	DeviceEventClassID	Olay türü başına benzersiz tanımlayıcı olarak görev alan dize veya tamsayı.
deviceExternalID	DeviceExternalID	Olayı üreten cihazı benzersiz olarak tanımlayan bir ad.
deviceFacility	DeviceFacility	Olayı üreten tesis.
deviceInboundInterface	DeviceInboundInterface	Paketin veya verilerin cihaza girdiği arabirim.
deviceNtDomain	DeviceNtDomain	Cihaz Windows etki alanı
deviceOutboundInterface	DeviceOutboundInterface	Paketin veya verilerin cihazdan ayrıldığı arabirim.
devicePayloadId	DevicePayloadId	Olayla ilişkili yük için benzersiz tanımlayıcı.
deviceProcessName	ProcessName	Olayla ilişkili işlem adı. Örneğin, UNIX syslog girişini oluşturma işlemi.
deviceTranslatedAddress	DeviceTranslatedAddress	Bir IP ağına olayın başvurduğu çevrilmiş cihaz adresini tanımlar. Biçim bir Ipv4 adresidir.
dhost	DestinationHostName	Olayın bir IP ağına başvurduğu hedef. Bir düğüm kullanılabilir olduğunda, biçim hedef düğümle ilişkili bir FQDN olmalıdır. Örneğin `host.domain.com` veya `host` olabilir.
dmac	DestinationMacAddress	Hedef MAC adresi (FQDN)
dntdom	DestinationNTDomain	Hedef Windows etki alanı adı.
dpid	DestinationProcessId	Olayla ilişkili hedef sürecin kimliği.
dpriv	DestinationUserPrivileges	Hedef kullanım ayrıcalıklarını tanımlar. Geçerli değerler: `Admninistrator` , `User` , `Guest`
dproc	DestinationProcessName	Olay hedef işleminin adı, örneğin `telnetd` veya `sshd.`
DPT	DestinationPort	Hedef bağlantı noktası. Geçerli değerler: `*0` - `65535`
HD	Hedef IP	Olayın bir IP ağında başvurduğu hedef IPv4 adresi.
DTZ	DeviceTimeZone	Olayı üreten cihazın saat dilimi
DUID	Destinationuserıd	Hedef kullanıcıyı KIMLIĞE göre tanımlar.
duser	Hedef Kullanıcı adı	Hedef kullanıcıyı ada göre tanımlar.
DVC	DeviceAddress	Olayı üreten cihazın IPv4 adresi.
dvchost	DeviceName	Bir düğüm kullanılabilir olduğunda cihaz düğümüyle ilişkili FQDN. Örneğin `host.domain.com` veya `host` olabilir.
dvcmac	DeviceMacAddress	Olayı üreten cihazın MAC adresi.
dvcpıd	İşlem Kimliği	Olayı üreten cihazdaki işlemin KIMLIĞINI tanımlar.

E-ı

CEF anahtar adı	CommonSecurityLog adı	Description
externalId	ExternalID	Kaynak cihaz tarafından kullanılan bir KIMLIK. Genellikle, bu değerler bir olayla ilişkili değerleri artırır.
fileCreateTime	FileCreateTime	Dosyanın oluşturulduğu zaman.
Dosya karması	Dosya karması	Bir dosyanın karması.
File	File	INode gibi bir dosyayla ilişkili bir KIMLIK.
Dosya Modificationtime	Dosya Modificationtime	Dosyanın son değiştirilme zamanı.
Null	Null	Dosya adı da dahil olmak üzere dosyanın tam yolu. Örneğin: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` veya `/usr/bin/zip` .
Dosya Izni	Dosya Izni	Dosyanın izinleri.
fileType	FileType	Dosya türü (kanal, yuva vb.).
fname	Kısaltın	Yol olmadan dosyanın adı.
fsize	İ	Dosya boyutu.
Host	Bilgisayar	Ana bilgisayar, syslog 'dan
in	ReceivedBytes	Gelen aktarılan bayt sayısı.

M-P

CEF anahtar adı	CommonSecurityLog adı	Description
msg	İleti	Olayla ilgili daha fazla ayrıntı sağlayan bir ileti.
Name	Etkinlik	Olayın okunabilir ve anlaşılır bir açıklamasını temsil eden bir dize.
oldFileCreateTime	OldFileCreateTime	Eski dosyanın oluşturulduğu zaman.
oldFileHash	OldFileHash	Eski dosyanın karması.
Oldfileıd	Oldfileıd	Ve eski dosyayla ilişkili inode gibi KIMLIK.
oldFileModificationTime	OldFileModificationTime	Eski dosyanın son değiştirilme zamanı.
eskiDosya adı	EskiDosya adı	Eski dosyanın adı.
oldFilePath	OldFilePath	Dosya adı da dahil olmak üzere eski dosyanın tam yolu. Örneğin `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` veya `/usr/bin/zip` olabilir.
oldFilePermission	OldFilePermission	Eski dosyanın izinleri.
oldFileSize	OldFileSize	Eski dosyanın boyutu.
oldFileType	OldFileType	Eski dosyanın kanal, yuva vb. gibi dosya türü.
out	SentBytes	Giden aktarılan bayt sayısı.
Sonuç	Sonuç	Etkinliğin sonucu, örneğin `success` veya `failure` .
proto	Protokol	Kullanılan katman-4 protokolünü tanımlayan Aktarım Protokolü. Olası değerler, veya gibi protokol adlarını içerir `TCP` `UDP` .

R-T

CEF anahtar adı	CommonSecurityLog adı	Description
İstek	RequestURL	Protokol dahil olmak üzere bir HTTP isteği için erişilen URL. Örneğin, `http://www/secure.com`
requestClientApplication	RequestClientApplication	İstekle ilişkili Kullanıcı Aracısı.
Öğesinden	Öğesinden	HTTP başvuran gibi, isteğin kaynaklandığı içeriği açıklar.
requestCookies	RequestCookies	İstekle ilişkili tanımlama bilgileri.
requestMethod	RequestMethod	Bir URL 'ye erişmek için kullanılan yöntem. Geçerli değerler,, vb. gibi yöntemleri içerir `POST` `GET` .
ş	Dönem tSaati	Etkinlikle ilgili olayın alındığı zaman.
Önem Derecesi	Logönem derecesi	Olayın önemini açıklayan bir dize veya tamsayı. Geçerli dize değerleri: `Unknown` , `Low` , `Medium` , `High` , `Very-High` Geçerli tamsayı değerleri şunlardır: - `0`-`3` = Düşük - `4`-`6` = Orta - `7`-`8` = Yüksek - `9`-`10` = Very-High
Shost	SourceHostName	Olayın başvurduğu kaynağı bir IP ağında tanımlar. Biçim, bir düğüm kullanılabilir olduğunda kaynak düğümle ilişkili tam etki alanı adı (DQDN) olmalıdır. Örneğin `host` veya `host.domain.com` olabilir.
SMAC	SourceMacAddress	Kaynak MAC adresi.
sntdom	SourceNTDomain	kaynak adresi için Windows etki alanı adı.
sourceDnsDomain	SourceDnsDomain	Tam FQDN 'nin DNS etki alanı kısmı.
sourceServiceName	SourceServiceName	Olayı oluşturmadan sorumlu hizmet.
Sourcetranslatedaddresi	Sourcetranslatedaddresi	Bir IP ağında, olayın başvurduğu çevrilmiş kaynağı tanımlar.
sourceTranslatedPort	SourceTranslatedPort	Bir güvenlik duvarı gibi çeviri sonrasında kaynak bağlantı noktası. Geçerli bağlantı noktası numaraları şunlardır `0` - `65535` .
tamamladığını	SourceProcessId	Olayla ilişkili kaynak işlemin KIMLIĞI.
spriv	SourceUserPrivileges	Kaynak kullanıcının ayrıcalıkları. Geçerli değerler şunlardır: `Administrator` , `User` , `Guest`
sproc	SourceProcessName	Olayın kaynak işleminin adı.
SPT	SourcePort	Kaynak bağlantı noktası numarası. Geçerli bağlantı noktası numaraları şunlardır `0` - `65535` .
src	SourceIP	Bir olayın bir IP ağında başvurduğu kaynak, bir IPv4 adresi olarak.
SUID	Sourceuserıd	Kaynak kullanıcıyı KIMLIĞE göre tanımlar.
suser	Dosyasından	Kaynak kullanıcıyı ada göre tanımlar.
tür	Olay türü	Olay türü. Değer değerleri şunlardır: - `0`: temel olay - `1`: toplanmış - `2`: bağıntı olayı - `3`: eylem olayı Note: Bu olay, temel olaylar için atlanabilir.

Özel alanlar

Aşağıdaki tablolar, müşteriler tarafından yerleşik alanların hiçbirine uygulanmayan veriler için kullanılabilecek CEF anahtarlarının ve CommonSecurityLog alanlarının adlarını eşler.

Özel IPv6 adres alanları

Aşağıdaki tabloda, özel veriler için kullanılabilen IPv6 adres alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.

CEF anahtar adı	CommonSecurityLog adı
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Özel sayı alanları

Aşağıdaki tabloda, özel veriler için kullanılabilen sayı alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.

CEF anahtar adı	CommonSecurityLog adı
CN1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Özel dize alanları

Aşağıdaki tabloda, özel veriler için kullanılabilen dize alanları için CEF anahtarı ve CommonSecurityLog adları eşlenir.

CEF anahtar adı	CommonSecurityLog adı
CS1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
CS3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4'te	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

İpucu

¹ Mümkün olduğunda DeviceCustomString alanlarını fazla kullanmamanız ve daha belirli, yerleşik alanlar kullanmanız önerilir.

Özel zaman damgası alanları

Aşağıdaki tabloda, özel veriler için kullanılabilen zaman damgası alanları için CEF anahtarı ve CommonSecurityLog adları eşler.

CEF anahtar adı	CommonSecurityLog adı
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Özel tamsayı veri alanları

Aşağıdaki tabloda, özel veriler için kullanılabilir tamsayı alanları için CEF anahtarı ve CommonSecurityLog adları eşler.

CEF anahtar adı	CommonSecurityLog adı
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Zenginleştirme alanları

Aşağıdaki CommonSecurityLog alanları, kaynak cihazlardan alınan özgün olayları zenginleştirmek için Microsoft Sentinel tarafından eklenir ve CEF anahtarlarında eşlemeleri yok:

Tehdit zekası alanları

CommonSecurityLog alan adı	Description
IndicatorThreatType	Tehdit zekası akışına göre MaliciousIP tehdit türü.
Kötü AmaçlıIP	İletide, geçerli tehdit zekası akışıyla ilişkili tüm IP adreslerini listeler.
MaliciousIPCountry	Kayıt alımı zamanında coğrafi bilgilere göre MaliciousIP ülkesi.
Kötü AmaçlıIPLatitude	Kayıt alımında coğrafi bilgilere göre MaliciousIP boylamı.
MaliciousIPLongitude	Kayıt alımında coğrafi bilgilere göre MaliciousIP boylamı.
ReportReferenceLink	Tehdit zekası raporunun bağlantısı.
ThreatConfidence	Tehdit zekası akışına göre MaliciousIP tehdit güveni.
ThreatDescription	Tehdit zekası akışına göre MaliciousIP tehdit açıklaması.
ThreatSeverity	Kayıt alımında tehdit zekası akışına göre MaliciousIPiçin tehdit önem derecesi.

Ek zenginleştirme alanları

CommonSecurityLog alan adı	Description
OriginalLogSeverity	CiscoASA tümleştirmesi için desteklenen her zaman boştur. Günlük önem derecesi değerleri hakkında ayrıntılı bilgi için LogSeverity alanına bakın.
RemoteIP	Uzak IP adresi. Bu değer mümkünse CommunicationDirection alanını temel alan bir değerdir.
RemotePort	Uzak bağlantı noktası. Bu değer mümkünse CommunicationDirection alanını temel alan bir değerdir.
SimplifiedDeviceAction	DeviceAction değerini statik bir değer kümesine basitleştirerek özgün değeri DeviceAction alanında tutabilirsiniz. Örneğin: `Denied` > `Deny` .
SourceSystem	Her zaman OpsManager olarak tanımlanır.

Sonraki adımlar

Daha fazla bilgi için bkz. Bağlan Biçimi kullanarak dış çözüme dönüştürme.